IP-ACL(3層ACL,針對的是3層流量)
標準ACL:
只能匹配IP數據包的 源IP地址
擴展ACL:
能夠同時匹配IP數據包的(源IP 目標IP) 傳輸層協議
擴展ACL匹配流量,更加精確:
確定流量的唯一5元組:
源IP、目標IP、源端口、目標端口、傳輸層協議
對數據而言,凡是能夠通過“傳輸層協議+端口號”的方式
進行表示的,則表示該數據是屬於“應用層”。
路由器查找路由表時,有一個最長匹配原則,
匹配的越長,表示地址越精確。
實驗名稱:擴展ACL的原理與應用
實驗拓撲:
實驗需求:
R1可以ping通R4;
R1的 loopback 0 無法 telnet R4 ;
實驗步驟:
1、確保網絡互通
#基於拓撲圖,配置設備端口地址;
#配置靜態路由,確保網段互通;
&一個一個的寫;
&默認路由: 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有網絡。
2、配置ACL策略
想要抓取一個流量
必須瞭解一個流量
配置命令:(R2)
ip access-list extended Deny-telnet
10 deny tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet
20 deny tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet
30 permit ip any any
!
或者
ip access-list extended Deny-telnet
10 deny tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet
20 deny tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet
30 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
3、調用ACL策略
R2:
interface fas0/1
ip access-group Deny-telnet in
4、驗證ACL策略
R2:
show ip access-list
show ip interface fas0/1
R1:
telnet 10.10.4.4 /source-interface loopback 0 -> no
telnet 192.168.34.4 /source-interface loopback 0 -> no
其他所有地址之間的所有類型流量,都是通的。
注意:
ACL不會對本地設備發起的流量起作用,僅僅對穿越流量起作用;
=========================================================
ISP(internet service provider)
EMS