ACL協議+實驗
ACL(accsec contorl list)協議---訪問控制列表。
1 作用-----控制數據的訪問和互通。
2 訪問控制列表的類型:
標準訪問控制列表:僅僅關註源IP地址。建議配置在離目標端最近的路由上
擴展訪問控制列表:關註源IP地址和目標地址,還可以關註TCP,UDP等信息,流量控制更加精準。配置在離源端最近的路由上,一般應用在入端口方向
命名(標準/擴展)訪問控制列表:允許在標準和擴展訪問列表中使用名稱代替表號
3 實現步驟-----第一是制定規則,第二是制定執行規則動作permit(允許)或者deny(拒絕),第三是在正確的設備端口上調用ACL。
在實際的工作當中,我們使用最多的是命名訪問控制列表,接下來將通過實驗看下具體配置:
實驗:如上面拓撲圖所示,紅色區域表示內網,藍色區域表示外網,此時全網互通。要求:PC4不能訪問服務器的網頁。
思路:形象一點表達:張三的家是pc4,他想開車拜訪加在藍色區域服務器的李四。當他出門走到R1的路口時,交警ACL叫他靠邊停車詢問,你是誰?去哪裏?經過詢問張三被扣壓,原因是根據局裏發的《不放行通知》,他因為交通事故逃逸,已經進入了黑名單。
對應關系:
tcp(應用到應用的訪問協議)-----張三
服務器web服務—李四
ACL的名字內容--《不放行通知》
調用ACL---在R1路口執行此通知
配置步驟:(我們使用命名擴展ACL配置)
1 建立ACL並且配置ACL的規則
R1(config)#ip access-list extended no//建立名字是no的ACL
R1(config-ext-nacl)#10 deny tcp host 192.168.1.1 host 192.168.1.254//ACL內容10:不允許從192.168.1.1發出 tcl 數據包 經過192.168.1.254
R1(config-ext-nacl)#20 permit ip any any //ACL內容20:除tcl數據流量以外其它可以放行
2 調用ACL
R1(config)#interface g0/0 //進入端口1
R1(config-if)#ip access-group no in // 啟用名字為no的ACL,從此端口進入的符合規則的數據流量不允許通過
註意:標準的ACL應該用在距離目標近的位置
擴展的ACL應該用在距離目標遠的位置
本文出自 “13440962” 博客,請務必保留此出處http://13450962.blog.51cto.com/13440962/1982954
ACL協議+實驗