标签:ACL 访问控制列表
实验项目:2.ACL的3中模式:
1标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)
2扩展ACL (根据数据包的源IP地址,目的IP地址,指定协议,端口和标志来允许或拒绝,表号是100~199)
3命名ACL (允许在标准和扩展ACL中使用名称来代替列表好)
3.ACL的工作原理:ACL是一组规则的集合,它应用在路由器上的接口,对与接口它有“出”和“入”两个方向。如果对接口应用了ACL,那么路由器对数据包应用该规则进行顺序检查。如果第一条规则匹配,那么就直接通过,不再需要检查。如果没有匹配,那么就会依次往下检查。到最后还没有的话,路由器将会根据默认的规则丢弃改数据包。一句话来说就是:要么允许通过,要么被拒绝。
实验经过:
1》上面我们简述了原理和一些重点,那么接下来我们来做一个ACL的综合实验。首先我们在GNS3中搭建号拓扑图,标记上IP的信息,方便我们配置,还有就是记住规则的顺序。规则的顺序很重要。如下图:
2》拓扑图搭建好了,我们来分析下需要做些什么。在SW上我没有太多要做的,只需要配置好全双工和速率。但是在R2上我们需要把端口IP配置好,并且注意ACL的要求,和最后应用在接口是该在那么方向。Sw上的配置这里就不演示了,直接配置R2。如下图:
3》端口IP和全双工,速率都配置好了,下面我们来配置规则。如下图:
4》以上是我们允许了两台主机通过,最后我们需要拒绝最后一台访问,并且需要把这个协议应用在IN的端口方向。如下图:
5》到这里,这个实验结束,我们可以通过ping来验证。如下图:
6》到这里表明实验成功,这里还需要注意的是,我们可以先查看一下列表,每一条规则都有序号,代表路由器先后的查看顺序。如下图:
7》总结:
1.上图的ACL列表信息,再加上路由器对ACL的工作原理,那么我们可以得知的是,规则的顺序很重要,用这个实验来说,如果还需要添加其他规则的,那么你的序号需要小于30。如果大于30,路由器匹配到这里就会自动丢弃这个数据包。
2.我们需要熟悉一定的协议,如:TCP IP UDP ICMP 等
3.最后我们需要将配置号的规则用于接口,同时注意是用在IN接口还是OUT接口
4.需要注意的是HOST后面是跟一个具体的IP地址,否则后面就需要跟反掩码。
5.ACL有三种类型:1标准ACL 2扩展ACL 3命名ACL
6.熟悉ACL通过路由的工作原理,这样更好理解规则。
标签:ACL 访问控制列表
原文地址:http://blog.51cto.com/13746824/2128563
