23.ACL
ACL
访问控制列表
1.上面为例,路由器R1与R2之间配置静态路由,使得PC1与PC2可以相互ping通
2.接下来要做的就是访问控制
advanced高级的
basic初级的
初级ACL配置
这里先测试初级的
初级的表号范围是2000-2999
这里使用2000
接下来配置规则,规则有deny(拒绝),permit(允许)
这里测试,拒绝PC1访问192.168.20.0网段
源地址可以匹配一个精确的IP地址,也可以匹配一个网段
源地址后面跟反掩码,0表是0.0.0.0,精确匹配
这条规则就是
然后在R2 的下连接口gi0/1上调用该规则
packet-filter 后面跟表号2000
表号后面跟,出方向、入方向
然后PC1尝试访问192.168.20.0网段的地址,发现访问不了了,说明调用的ACL起作用了
通过dis acl all,查看到这条规则已经生效了,而且十次被匹配
高级ACL配置
测试,拒绝PC1与PC2,ping PC3,但是允许telnet访问PC3
acl高级的表号为3000
拒绝源地址为192.168.10.0网段的IP的icmp报文,到目标地址192.168.20.1 ,源地址后根反掩码,目标地址后跟反掩码
也就是数据包的源IP地址为192.168.10.0网段的包全被拒绝掉
然后在R2的下接口调用高级ACL
先把之前的2000先undo掉再调用3000的
拒绝源地址为172.16.2.3 telnet访问10.0.0.2
telnet用的是TCP协议,所以拒绝TCP,目标地址后跟的是目标端口号,eq(等于) 23
