ACL的三种访问控制列表的概述及实验配置

折月煮酒 提交于 2019-12-06 09:08:40

ACL的概述

在路由器上读取OSI七层模型的第三层及第四层包头的信息
根据定义好的规则,对包进行过滤

ACL的工作原理

有两个方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理

列表应用到接口方向与数据方向有关

访问控制列表的类型

1 标准访问控制列表
基于源IP地址过滤数据包
白哦准访问控制列表的访问控制列表号是1~99

2 扩展访问控制列表
基于源IP地址、目的ip地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100~199

3 命名访问控制列表
命名访问控制列表允许在标志和扩展访问控制列表中使用名称代替表号

标准ACL的配置实例

要求配置标准ACL实现 禁止PC2访问主机PC1,而允许其他流量访问

ACL的三种访问控制列表的概述及实验配置

sw1的配置命令

sw1#conf t
sw1(config)#no ip routing 关闭路由功能
sw1(config)#

R1上的配置命令

R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#int f0/0
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)# 以上给端口配置ip的

R1(config)#access-list 1 deny host 192.168.2.10 拒绝ip为192.168.2.10pc2这台主机访问pc1
R1(config)#access-list 1 permit any 允许其他的流量
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in 将ACL应用于接口 ACL才会生效

用show access-lists命令查看ACL的配置

ACL的三种访问控制列表的概述及实验配置

在GNS3 VPCS中给pc机配置ip

ACL的三种访问控制列表的概述及实验配置

在GNS3 VPCS中验证

ACL的三种访问控制列表的概述及实验配置

验证结果 ,PC2 不能ping通主机PC1, 但是PC3 可以ping 通PC1

扩展ACL的配置实例

要求c2是window7 c1是服务器 W7能访问C1服务器但是ping不通

ACL的三种访问控制列表的概述及实验配置

sw1的配置命令

sw1#conf t
sw1(config)#no ip routing 关闭路由功能
sw1(config)#

R1上的配置命令

R1(config)#int f0/1
R1(config-if)#ip add 192.168.40.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#int f0/0
R1(config-if)#ip add 192.168.30.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#

R1(config)#access-list 101 deny icmp host 192.168.30.0 host 192.168.40.14 echo 创建ACL,使用ICMP协议拒绝192.168.10.0访问192.168.30.40主机
R1(config)#access-list 101 permit ip any any 允许其他网段访问

R1(config-if)#ip access-group 101 in 将ACL应用于接口

R1#show access-lists 101 用来查看ACL的信息

window7上没有添加ICMP是可以ping通centos的

ACL的三种访问控制列表的概述及实验配置

window7上验证访问结果

ACL的三种访问控制列表的概述及实验配置

用show access-lists命令查看ACL的配置

ACL的三种访问控制列表的概述及实验配置

window7上添加ICMP后是不可以ping通centos的

ACL的三种访问控制列表的概述及实验配置

验证结果W7能访问C1服务器但是ping不通

命名ACL的配置实例

实验要求命名ACL 拒绝192.168.20.10的pc 访问pc1,允许别的ip地址访问

ACL的三种访问控制列表的概述及实验配置

SW1的配置命令
sw1(config)#no ip routing 关闭路由功能

R1上的配置命令
R1(config)#int f0/0
R1(config-if)#ip add 192.168.20.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex

R1(config)#int f0/1
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex

R1(config)#ip access-list standard abc 创建命名ACL asd是名称
R1(config-std-nacl)#deny host 192.168.20.10 拒绝的ip地址
R1(config-std-nacl)#permit any 允许别的ip地址访问
R1(config-if)#ip access-group abc in 将ACL应用于接口
R1#show access-lists abc 查看ACL信息

ACL的三种访问控制列表的概述及实验配置

在GNS3 VPCS中给pc机配置ip

ACL的三种访问控制列表的概述及实验配置

在GNS3 VPCS中验证

ACL的三种访问控制列表的概述及实验配置

Sequence-Number决定ACL语句在ACL列表中的位置

R1(config)#ip access-list standard asd
R1(config-std-nacl)#15 deny host 192.168.20.10
R1(config-std-nacl)#16 permit host 192.168.30.0

R1#show access-lists asd
ACL的三种访问控制列表的概述及实验配置

验证结果 已命名ACL 拒绝192.168.20.10的pc 访问pc1,允许别的ip地址访问

转载于:https://blog.51cto.com/13871378/2166386

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!