擴(kuò)展ACL ---王貝的學(xué)習(xí)筆記

IP-ACL（3層ACL，針對(duì)的是3層流量）

標(biāo)準(zhǔn)ACL：
只能匹配IP數(shù)據(jù)包的 源IP地址

擴(kuò)展ACL：
能夠同時(shí)匹配IP數(shù)據(jù)包的(源IP 目標(biāo)IP) 傳輸層協(xié)議

擴(kuò)展ACL匹配流量，更加精確：

     確定流量的唯一5元組：
         源IP、目標(biāo)IP、源端口、目標(biāo)端口、傳輸層協(xié)議

     對(duì)數(shù)據(jù)而言，凡是能夠通過(guò)“傳輸層協(xié)議+端口號(hào)”的方式
     進(jìn)行表示的，則表示該數(shù)據(jù)是屬于“應(yīng)用層”。

     路由器查找路由表時(shí)，有一個(gè)最長(zhǎng)匹配原則，
        匹配的越長(zhǎng)，表示地址越精確。

實(shí)驗(yàn)名稱(chēng)：擴(kuò)展ACL的原理與應(yīng)用
實(shí)驗(yàn)拓?fù)洌?br/>實(shí)驗(yàn)需求：
R1可以ping通R4；
R1的 loopback 0 無(wú)法 telnet R4 ；
實(shí)驗(yàn)步驟：
1、確保網(wǎng)絡(luò)互通
#基于拓?fù)鋱D，配置設(shè)備端口地址；
#配置靜態(tài)路由，確保網(wǎng)段互通；
&一個(gè)一個(gè)的寫(xiě)；
&默認(rèn)路由： 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有網(wǎng)絡(luò)。

2、配置ACL策略              
           想要抓取一個(gè)流量
           必須了解一個(gè)流量

            配置命令：(R2)
               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet
                     20  deny   tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet
                     30  permit ip any any

!
或者

               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet
                     20  deny   tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet
                     30  permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

3、調(diào)用ACL策略
          R2:
             interface fas0/1
                ip access-group Deny-telnet in 
4、驗(yàn)證ACL策略
           R2: 
              show ip access-list 
              show ip interface fas0/1 
           R1:
              telnet 10.10.4.4 /source-interface loopback 0 -> no 
              telnet 192.168.34.4 /source-interface loopback 0 -> no
              其他所有地址之間的所有類(lèi)型流量，都是通的。                   

注意：
ACL不會(huì)對(duì)本地設(shè)備發(fā)起的流量起作用，僅僅對(duì)穿越流量起作用；

=========================================================

ISP(internet service provider)

EMS