当前位置:网站首页>交换机和路由器技术-31-扩展ACL
交换机和路由器技术-31-扩展ACL
2022-08-11 04:44:00 【w辣条小王子】
扩展ACL
ACL应用规则
在一个接口一个方向上只能应用一个访问控制列表
access-list 1 deny host 192.168.1.1
access-list 2 deny host 192.168.2.1
int f0/0
ip access-group 1 in#这条生效
ip access-aroup 2 in # 这条不生效
ip access-aroup 2 out #另一个方向根本没有192.168.2.1的通信信息,相当于白配置
可以通过在同一个路由器上设置in、out来解决,要注意流量走向
扩展ACL:基于源ip、目的ip、指定协议、端口号、标志位进行过滤。表号:100~199
配置扩展ACL实例
实验要求
1、PC0无法访问服务器0的DNS服务,其他服务不受影响
2、PC1无法访问服务器0的http服务,其他服务不受影响
3、两台主机都无法ping通服务器0
如图完成上述拓扑搭建,网段划分,ip配置,服务器也需要配置ip,然后指定静态路由,实现所有主机与服务器互通,服务器开启DNS,并写一条资源记录www.test.com 123.123.123.123。完成以上设置才能做实验
PC1 ping 服务器
PC0 ping 服务器
测试http服务
测试DNS服务
这一步需要将主机dns服务器配置为server的ip
思考:ACL的配置在哪台服务器上完成?配置在入口还是出口?
链路上尽量不要出现无用流量
减少路由器工作量
尽量配置在一个表上
在这个拓扑上,要么多个表号直接应用在入口,要么一个表号,直接应用在出口即,路由器1的g0/1接口
DNS基于udp的应用层协议 端口是53.号
Http基于tcp的应用层协议,端口是80号
eq 等于
gt 大于
lt 小于
neq 不等于
range 一个范围
R1上的配置如下
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 160 deny ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config)#access-list 160 deny icmp ?
A.B.C.D Source address
any Any source host
host A single source host
Router(config)#access-list 160 deny icmp host 192.168.10.2 ?
A.B.C.D Destination address
any Any destination host
host A single destination host
Router(config)#access-list 160 deny icmp host 192.168.10.2 host 192.168.30.2
Router(config)#
Router(config)#access-list 160 deny icmp host 192.168.20.2 host 192.168.30.2
Router(config)#
Router(config)#access-list 160 deny tcp host 192.168.10.2 host 192.168.30.2 eq 80
Router(config)#
Router(config)#access-list 160 deny udp host 192.168.20.2 host 192.168.30.2 eq 53
Router(config)#
Router(config)#access-list 160 permit ip any any查看效果
PC0无法使用dns服务,但HTTP服务不受影响
PC2刚好相反,不做演示
总结:
扩展ACL命令:
先拒绝再允许\最后配置一条permit ip any any 允许其他ip流量通过
access-list 表号 permit/deny 协议(icmp ip tcp udp) host 源地址 host 目的地址(eq/gt/lt/neq/range) 端口号
边栏推荐
- Mysql中事件和定时任务
- -Fill in color-
- 使用百度EasyDL实现森林火灾预警识别
- Application of Identification Cryptography in IMS Network
- Mysql:设置主键自动增长起始值
- set_new_handler(0)是什么意思?有什么用?
- 如何进行AI业务诊断,快速识别降本提效增长点?
- "125 Palindrome Verification" of the 10th day string series of LeetCode brushing questions
- About data paging display
- Where can machine learning be applied?What is machine learning useful for?
猜你喜欢
【深度学习】基于卷积神经网络的天气识别训练
我的LaTeX入门
Harvesting of radio frequency energy
Clang Code Model: Error: The clangbackend executable “X:/clangbackend.exe“ could not be started
"239 Sliding Window Maximum Value" on the 16th day of LeetCode brushing
如何将360全景图导出高清短视频分享到视频平台上?
交换机--- 生成树--三层架构总结
LeetCode Brush Questions Day 11 String Series "58 Last Word Length"
Apache初体验
"3 Longest Substring Without Repeating Characters" on the 17th day of LeetCode brushing
随机推荐
.NET自定义中间件
Merkel Studio--OpenEuler Training Notes (1)
es-head plugin insert query and conditional query (5)
【实战场景】商城-折扣活动设计方案
延长经济保险(jeecgboot)
"98 BST and Its Verification" of the 13th day of leetcode brushing series of binary tree series
这些云自动化测试工具值得拥有
Layered Architecture & SOA Architecture
【FPGA教程案例50】控制案例2——基于FPGA的PD控制器verilog实现
洛谷P4847 银河英雄传说V2
源代码加密技术浅析
MySQL database storage engine and database creation, modification and deletion
洛谷P2580 于是他错误的点名开始了
网络安全培训机构哪家好?排名怎么选择?
c语言fprintf、fscanf、sscanf以及sprintf函数知识要点总结
Common layout effect realization scheme
关于数据分页显示
Jetson Orin平台4-16路 GMSL2/GSML1相机采集套件推荐
The sword refers to offer_abstract modeling capabilities
Mysql中事件和定时任务