交换机与路由技术-31-扩展ACL
目录
一、扩展的ACL
1.1 特点
1.2 ACL应用规则
二、扩展ACL实验
三、 扩展ACL总结
一、扩展的ACL
1.1 特点
基于数据包五元组:源IP、目的IP、源端口、目的端口、协议来过滤数据包
扩展访问控制列表的表号为:100~199
1.2 ACL应用规则
在一个接口上、一个方向上、只能应用一个访问控制列表
Router(config)#access-list 88 deny host 192.168.10.2
Router(config)#access-list 99 deny host 192.168.20.2
Router(config)#int g0/0
Router(config-if)#ip access-group 88 in /* 生效 */
Router(config-if)#ip access-group 99 in /* 不生效 */
二、扩展ACL实验
实验要求:
如图,完成网段划分,IP配置,和启用OSPF动态路由协议实现网络互通
注意点:主机的DNS服务为server的IP地址
在Server开启DNS功能和HTTP功能,并添加两条记录如图
测试配置前的效果
配置要求:
PC0 无法访问服务器的dns服务、其他服务正常
(即PC0无法通过域名访问,但可以通过ip地址访问网站)
PC1无法访问服务器的http服务、其他服务正常
(即可以进行域名解析但是无法访问网站)
两台主机都无法ping通服务器
配置思路
确定在哪一台路由器配置ACL
确定配置在入口还是出口
原则:减少路由器无用功、尽量配置在一个表中
综合考虑:配置在路由器0的出口
DNS是应用层协议,基于传输层的UDP用户数据报协议 53号端口
HTTP是应用层协议,基于传输层的TCP传输控制协议 80 端口
Router(config)#
Router(config)#access
Router(config)#access-list 111 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
Router(config)#access-list 111 deny ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config)#access-list 111 deny icmp ?
A.B.C.D Source address
any Any source host
host A single source host
Router(config)#access-list 111 deny icmp any ?
A.B.C.D Destination address
any Any destination host
host A single destination host
Router(config)#access-list 111 deny icmp any host 192.168.40.1
Router(config)#access-list 111 deny udp ?
A.B.C.D Source address
any Any source host
host A single source host
Router(config)#access-list 111 deny udp host 192.168.10.1 ?
A.B.C.D Destination address
any Any destination host
eq Match only packets on a given port number
gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
Router(config)#access-list 111 deny udp host 192.168.10.1 host 192.168.40.1 eq 53
Router(config)#access-list 111 deny tcp host 192.168.20.1 host 192.168.40.1 eq 80
Router(config)#access-list 111 permit ip any any
Router(config)#int g0/2
Router(config-if)#ip access-group 111 out
验证效果
PC0 无法访问服务器的dns服务、其他服务正常
(即PC0无法通过域名访问,但可以通过ip地址访问网站)
PC0和PC1均不能ping通服务器
PC1无法访问服务器的http服务、其他服务正常
(即可以进行域名解析但是无法访问网站)
两台主机都无法ping通服务器
三、 扩展ACL总结
所有的ACL类型
只能在一个接口一个方向上配置一个组ACL(表号相同算一组)
配置扩展ACL使用表号是100~199
access-list 表号(100~199)deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) (端口号)
eq 等于
gt 大于
lt 小于
neq 不等于
range 范围