擴展ACL ---王貝的學習筆記

IP-ACL（3層ACL，針對的是3層流量）

標準ACL：
只能匹配IP數據包的 源IP地址

擴展ACL：
能夠同時匹配IP數據包的(源IP 目標IP) 傳輸層協議

擴展ACL匹配流量，更加精確：

     確定流量的唯一5元組：
         源IP、目標IP、源端口、目標端口、傳輸層協議

     對數據而言，凡是能夠通過“傳輸層協議+端口號”的方式
     進行表示的，則表示該數據是屬於“應用層”。

     路由器查找路由表時，有一個最長匹配原則，
        匹配的越長，表示地址越精確。

---

實驗名稱：擴展ACL的原理與應用
實驗拓撲：
實驗需求：
R1可以ping通R4；
R1的 loopback 0 無法 telnet R4 ；
實驗步驟：
1、確保網絡互通
#基於拓撲圖，配置設備端口地址；
#配置靜態路由，確保網段互通；
&一個一個的寫；
&默認路由： 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有網絡。

2、配置ACL策略              
           想要抓取一個流量
           必須瞭解一個流量

            配置命令：(R2)
               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet
                     20  deny   tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet
                     30  permit ip any any

!
或者

               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet
                     20  deny   tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet
                     30  permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

3、調用ACL策略
          R2:
             interface fas0/1
                ip access-group Deny-telnet in 
4、驗證ACL策略
           R2: 
              show ip access-list 
              show ip interface fas0/1 
           R1:
              telnet 10.10.4.4 /source-interface loopback 0 -> no 
              telnet 192.168.34.4 /source-interface loopback 0 -> no
              其他所有地址之間的所有類型流量，都是通的。                   

注意：
ACL不會對本地設備發起的流量起作用，僅僅對穿越流量起作用；

=========================================================

ISP(internet service provider)

EMS