一、ACL-訪問控制列表
作用:讀取三層、四層頭部信息,根據預先定義好的規則對流量進行篩選、過濾。
三層頭部信息:源、目IP
四層頭部信息:源、目端口號、TCP/UDP協議
訪問控制列表的調用的方向
入:流量將要進入本地路由器,將被本地路由器處理
出:已經被本地路由器處理過了,流量將離開本地路由器
策略做好后,在入接口調用和出接口調用的區別:入接口調用的話,是對本地路由器生效出接口調用的話,對本地路由器不生效,流量將在數據轉發過程中的下一臺路由器生效。
二、訪問控制列表的處理原則
1.路由條目只會被匹配一次
2.路由條目在ACL訪問控制列表中匹配的順序是從上往下匹配
3.ACL訪問控制列表隱含一個拒絕所有4ACL訪問控制列表至少要放行一條路由條目
三、訪問控制列表類型
1.標準訪問控制列表只能基于源IP地址進行過濾
標準訪問控制列表的列表號是2000-2999調用原則:靠近目標
2.擴展訪問控制列表可以根據源、目IP地址,TCP/UDP協議,源、目端口號進行過濾相比較標準訪問控制列表,流量控制的更加精準
擴展訪問控制列表的列表號是3000-3999調用原則:靠近源
AR路由器上的單臂路由命令
[]int g0/0/0
undo shut
[]int g0/0/0.1
dotlg termination vid 10 封裝方式為802.1q,g0/0/0.1劃分進vlan10
ip add 192.168.10.124/設置IP和掩碼長度
arp broadcast enable//開啟ARP廣播功能
[]intg0/0/0.2dotlg termination vid 20
ip add192.168.20.1 24
arp broadcast enable
標準訪問控制列表acl 2000創建標準訪問控制列表,列表號為2000
rule deny
source192.168.10.0.0.0.0.255拒絕192.168.10.0網段(子網掩碼為反掩碼rule permit source any放行其他路由條目默認ACL的每條語句的行號間隔5接口調用列表
int g0/0/0.2
outbound--出接口
inbound--入接口
traffic- filter outbound/ inbound acl 2000選擇在出/入接口上調用列表2000擴展訪問控制列表
acl number 3000
rule deny tcp source 192. 168.10.10 0.0.0.0
destination 202. 10. 100. 100 0.0.0.0 destination-port eq 21/ftp//禁止PC1訪問FTP服務
rule permit tcp destination- port eq ftp/放行其他客戶機訪問FTP服務
rule permit ip//放行其他客戶機的網絡流量
int g0/0/0.1traffic-filter inbond acl 3000
四、實際操作
拓撲圖
第一步實現全網互通
二層交換機
第一臺路由器
第二臺路由器
先ping一下是可以ping通的
客戶端這里也是可以上傳和下載的
第二步擴展訪問列表
測試vlan10是否還能連接服務器
