交换机与路由技术-31-扩展ACL

目录

一、扩展的ACL

1.1 特点

1.2 ACL应用规则

二、扩展ACL实验

三、 扩展ACL总结

---

一、扩展的ACL

1.1 特点

基于数据包五元组：源IP、目的IP、源端口、目的端口、协议来过滤数据包

扩展访问控制列表的表号为：100~199

1.2 ACL应用规则

在一个接口上、一个方向上、只能应用一个访问控制列表

Router(config)#access-list 88 deny host 192.168.10.2

Router(config)#access-list 99 deny host 192.168.20.2

Router(config)#int g0/0

Router(config-if)#ip access-group 88 in   /* 生效 */

Router(config-if)#ip access-group 99 in   /* 不生效 */

二、扩展ACL实验

实验要求：

如图，完成网段划分，IP配置，和启用OSPF动态路由协议实现网络互通

注意点：主机的DNS服务为server的IP地址

在Server开启DNS功能和HTTP功能，并添加两条记录如图

测试配置前的效果

配置要求：

PC0 无法访问服务器的dns服务、其他服务正常

（即PC0无法通过域名访问，但可以通过ip地址访问网站）

PC1无法访问服务器的http服务、其他服务正常

（即可以进行域名解析但是无法访问网站）

两台主机都无法ping通服务器

配置思路

       确定在哪一台路由器配置ACL

       确定配置在入口还是出口

原则：减少路由器无用功、尽量配置在一个表中

综合考虑：配置在路由器0的出口

DNS是应用层协议，基于传输层的UDP用户数据报协议 53号端口

HTTP是应用层协议，基于传输层的TCP传输控制协议 80 端口

Router(config)#

Router(config)#access

Router(config)#access-list 111 ?

deny Specify packets to reject

permit Specify packets to forward

remark Access list entry comment

Router(config)#access-list 111 deny ?

ahp Authentication Header Protocol

eigrp Cisco's EIGRP routing protocol

esp Encapsulation Security Payload

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol

ip Any Internet Protocol

ospf OSPF routing protocol

tcp Transmission Control Protocol

udp User Datagram Protocol

Router(config)#access-list 111 deny icmp ?

A.B.C.D Source address

any Any source host

host A single source host

Router(config)#access-list 111 deny icmp any ?

A.B.C.D Destination address

any Any destination host

host A single destination host

Router(config)#access-list 111 deny icmp any host 192.168.40.1

Router(config)#access-list 111 deny udp ?

A.B.C.D Source address

any Any source host

host A single source host

Router(config)#access-list 111 deny udp host 192.168.10.1 ?

A.B.C.D Destination address

any Any destination host

eq Match only packets on a given port number

gt Match only packets with a greater port number

host A single destination host

lt Match only packets with a lower port number

neq Match only packets not on a given port number

range Match only packets in the range of port numbers

Router(config)#access-list 111 deny udp host 192.168.10.1 host 192.168.40.1 eq 53

Router(config)#access-list 111 deny tcp host 192.168.20.1 host 192.168.40.1 eq 80

Router(config)#access-list 111 permit ip any any

Router(config)#int g0/2

Router(config-if)#ip access-group 111 out

验证效果

PC0 无法访问服务器的dns服务、其他服务正常

（即PC0无法通过域名访问，但可以通过ip地址访问网站）

PC0和PC1均不能ping通服务器

PC1无法访问服务器的http服务、其他服务正常

（即可以进行域名解析但是无法访问网站）

两台主机都无法ping通服务器

三、 扩展ACL总结

所有的ACL类型

只能在一个接口一个方向上配置一个组ACL（表号相同算一组）

配置扩展ACL使用表号是100~199

access-list 表号（100~199）deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) （端口号）

eq        等于

gt          大于

lt           小于

neq       不等于

range     范围