*实验示例均以华为的设备为例,部分实验在ENSP模拟器实现,部分为真机实现

9.4-基本ACL和高级ACL(下)-下一朵云
图1 实验网络拓扑图

实验工程文件下载 https://download.csdn.net/download/i12344/85189719

实验1要求:在R2上配置高级ACL,拒绝PC1和PC2 ping Server但允许http访问

基础配置:IP地址和静态路由使图1网络互通(略)

ACL配置:

[R2]acl number 3000
[R2-acl-adv-3000]rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
#只有报文是①icmp、且②源IP地址是192.168.10.x、且③目的IP地址是172.16.10.2才会被拒绝,需同时满足三个条件才会被匹配
[R2-acl-adv-3000]int g0/0/1 
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

实验1结果:

PC1和PC2均无法ping通Server

9.4-基本ACL和高级ACL(下)-下一朵云
图2 实验1ping结果

但是可以通过http访问Server服务器

9.4-基本ACL和高级ACL(下)-下一朵云
图3 实验1http访问结果

实验2要求:拒绝192.168.10.2 telnet访问12.1.1.2

ACL配置:

[R2]acl number 3005
[R2-acl-adv-3005]rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq 23
[R2-acl-adv-3005]dis this
[V200R003C00]
#
acl number 3005  
 rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port e
q telnet 
#
return
[R2-acl-adv-3005]qu
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3005

R2上配置telnet用户:

[R2]telnet server enable 
[R2]aaa	
[R2-aaa]local-user abc privilege level 3 password cipher 123	
[R2-aaa]local-user abc service-type telnet
[R2-aaa]qu
[R2]user-interface vty 0 4 
[R2-ui-vty0-4]authentication-mode aaa

实验2结果:

R1可以Telnet到R2(如图4),PC却无法telnet到R2

9.4-基本ACL和高级ACL(下)-下一朵云
图4 R1telnet登录R2

其他高级ACL配置举例(无实验):

1)允许源IP地址172.16.1.1的PC访问172.16.2.1,其余报文全部拒绝

ACL 3008
rule 5 permit ip source 172.16.1.1 0 destination 172.16.2.1 0
rule 10 deny ip

2)拒绝任何人上QQ客户端(传输层 UDP 8000端口

ACL 3101
rule 5 deny udp destination-port eq 8000

注:⑴如果ACL没有被调用,该ACL不起任何作用

⑵ACL属于三层技术,只能部署在三层设备上,ACL适合用于不同网段互访的访问控制

⑶相同vlan相同网段PC互访控制不适合ACL,建议使用端口隔离

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。