您好,登錄后才能下訂單哦!
IP-ACL(3層ACL,針對(duì)的是3層流量)
標(biāo)準(zhǔn)ACL:
只能匹配IP數(shù)據(jù)包的 源IP地址
擴(kuò)展ACL:
能夠同時(shí)匹配IP數(shù)據(jù)包的(源IP 目標(biāo)IP) 傳輸層協(xié)議
擴(kuò)展ACL匹配流量,更加精確:
確定流量的唯一5元組:
源IP、目標(biāo)IP、源端口、目標(biāo)端口、傳輸層協(xié)議
對(duì)數(shù)據(jù)而言,凡是能夠通過(guò)“傳輸層協(xié)議+端口號(hào)”的方式
進(jìn)行表示的,則表示該數(shù)據(jù)是屬于“應(yīng)用層”。
路由器查找路由表時(shí),有一個(gè)最長(zhǎng)匹配原則,
匹配的越長(zhǎng),表示地址越精確。
實(shí)驗(yàn)名稱(chēng):擴(kuò)展ACL的原理與應(yīng)用
實(shí)驗(yàn)拓?fù)洌?br/>實(shí)驗(yàn)需求:
R1可以ping通R4;
R1的 loopback 0 無(wú)法 telnet R4 ;
實(shí)驗(yàn)步驟:
1、確保網(wǎng)絡(luò)互通
#基于拓?fù)鋱D,配置設(shè)備端口地址;
#配置靜態(tài)路由,確保網(wǎng)段互通;
&一個(gè)一個(gè)的寫(xiě);
&默認(rèn)路由: 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有網(wǎng)絡(luò)。
2、配置ACL策略
想要抓取一個(gè)流量
必須了解一個(gè)流量
配置命令:(R2)
ip access-list extended Deny-telnet
10 deny tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet
20 deny tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet
30 permit ip any any
!
或者
ip access-list extended Deny-telnet
10 deny tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet
20 deny tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet
30 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
3、調(diào)用ACL策略
R2:
interface fas0/1
ip access-group Deny-telnet in
4、驗(yàn)證ACL策略
R2:
show ip access-list
show ip interface fas0/1
R1:
telnet 10.10.4.4 /source-interface loopback 0 -> no
telnet 192.168.34.4 /source-interface loopback 0 -> no
其他所有地址之間的所有類(lèi)型流量,都是通的。
注意:
ACL不會(huì)對(duì)本地設(shè)備發(fā)起的流量起作用,僅僅對(duì)穿越流量起作用;
=========================================================
ISP(internet service provider)
EMS
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。