• 交换机和路由器技术-31-扩展ACL

    扩展ACL

     ACL应用规则

    在一个接口一个方向上只能应用一个访问控制列表

    access-list 1 deny host 192.168.1.1

    access-list 2 deny host 192.168.2.1

    int f0/0

    ip access-group 1 in#这条生效

    ip access-aroup 2 in # 这条不生效

    ip access-aroup 2 out #另一个方向根本没有192.168.2.1的通信信息,相当于白配置

    可以通过在同一个路由器上设置in、out来解决,要注意流量走向

    扩展ACL:基于源ip、目的ip、指定协议、端口号、标志位进行过滤。表号:100~199

    配置扩展ACL实例

    实验要求
    1、PC0无法访问服务器0的DNS服务,其他服务不受影响
    2、PC1无法访问服务器0的http服务,其他服务不受影响
    3、两台主机都无法ping通服务器0

    如图完成上述拓扑搭建,网段划分,ip配置,服务器也需要配置ip,然后指定静态路由,实现所有主机与服务器互通,服务器开启DNS,并写一条资源记录www.test.com 123.123.123.123。完成以上设置才能做实验

    PC1 ping 服务器

    PC0 ping 服务器

    测试http服务

    测试DNS服务

    这一步需要将主机dns服务器配置为server的ip

    思考:ACL的配置在哪台服务器上完成?配置在入口还是出口?

    链路上尽量不要出现无用流量

    减少路由器工作量

    尽量配置在一个表上

    在这个拓扑上,要么多个表号直接应用在入口,要么一个表号,直接应用在出口即,路由器1的g0/1接口

    DNS基于udp的应用层协议 端口是53.号

    Http基于tcp的应用层协议,端口是80号

    eq 等于

    gt 大于

    lt 小于

    neq 不等于

    range 一个范围

    R1上的配置如下

    1. Router#conf t
    2.  
    3. Enter configuration commands, one per line.  End with CNTL/Z.
    4.  
    5. Router(config)#access-list 160 deny ?
    6.  
    7.   ahp    Authentication Header Protocol
    8.  
    9.   eigrp  Cisco's EIGRP routing protocol
    11.   esp    Encapsulation Security Payload
    13.   gre    Cisco's GRE tunneling
    14.  
    15.   icmp   Internet Control Message Protocol
    16.  
    17.   ip     Any Internet Protocol
    18.  
    19.   ospf   OSPF routing protocol
    20.  
    21.   tcp    Transmission Control Protocol
    22.  
    23.   udp    User Datagram Protocol
    24.  
    25. Router(config)#access-list 160 deny icmp ?
    26.  
    27.   A.B.C.D  Source address
    28.  
    29.   any      Any source host
    30.  
    31.   host     A single source host
    32.  
    33. Router(config)#access-list 160 deny icmp host 192.168.10.2 ?
    34.  
    35.   A.B.C.D  Destination address
    36.  
    37.   any      Any destination host
    38.  
    39.   host     A single destination host
    40.  
    41. Router(config)#access-list 160 deny icmp host 192.168.10.2 host 192.168.30.2
    42.  
    43. Router(config)#
    44.  
    45. Router(config)#access-list 160 deny icmp host 192.168.20.2 host 192.168.30.2
    46.  
    47. Router(config)#
    48.  
    49. Router(config)#access-list 160 deny tcp host 192.168.10.2 host 192.168.30.2 eq 80
    50.  
    51. Router(config)#
    52.  
    53. Router(config)#access-list 160 deny udp host 192.168.20.2 host 192.168.30.2 eq 53
    54.  
    55. Router(config)#
    56.  
    57. Router(config)#access-list 160 permit ip any any

    查看效果

    PC0无法使用dns服务,但HTTP服务不受影响

    PC2刚好相反,不做演示

    总结:

    扩展ACL命令:

    先拒绝再允许\最后配置一条permit ip any any 允许其他ip流量通过

    access-list 表号 permit/deny 协议(icmp ip tcp udp) host 源地址 host 目的地址(eq/gt/lt/neq/range) 端口号

  • 相关阅读:
    基于单片机的多层电梯控制仿真系统
    HTML人物介绍、个人设计web前端大作业、贝聿铭人物介绍(带报告3000字)
    计算机网络 - SSH协议-建立免密通道
    硝酸根离子深度去除树脂
    Qt第二十七章:QWidget、QMainWindow自定义标题栏并自由移动缩放
    Python接口自动化 —— Json 数据处理实战(详解)
    C++继承机制学习笔记
    代码随想录刷题Day55 | 392. 判断子序列 | 115. 不同的子序列
    瞅瞅 Opencv:扫描图像
    力扣HOT100 - 200. 岛屿数量
  • 原文地址:https://blog.csdn.net/weixin_46232917/article/details/126138334