作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
三层头部信息:源、目IP
四层头部信息:源、目端口号、TCP/UDP协议
访问控制列表的调用的方向
入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器
策略做好后,在入接口调用和出接口调用的区别:入接口调用的话,是对本地路由器生效出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个拒绝所有4ACL访问控制列表至少要放行一条路由条目
1.标准访问控制列表只能基于源IP地址进行过滤
标准访问控制列表的列表号是2000-2999调用原则:靠近目标
2.扩展访问控制列表可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准访问控制列表,流量控制的更加精准
扩展访问控制列表的列表号是3000-3999调用原则:靠近源
AR路由器上的单臂路由命令
[]int g0/0/0
undo shut
[]int g0/0/0.1
dotlg termination vid 10 封装方式为802.1q,g0/0/0.1划分进vlan10
ip add 192.168.10.124/设置IP和掩码长度
arp broadcast enable//开启ARP广播功能
[]intg0/0/0.2dotlg termination vid 20
ip add192.168.20.1 24
arp broadcast enable
标准访问控制列表acl 2000创建标准访问控制列表,列表号为2000
rule deny source192.168.10.0.0.0.0.255拒绝192.168.10.0网段(子网掩码为反掩码rule permit source any放行其他路由条目默认ACL的每条语句的行号间隔5接口调用列表
int g0/0/0.2
outbound--出接口
inbound--入接口
traffic- filter outbound/ inbound acl 2000选择在出/入接口上调用列表2000扩展访问控制列表
acl number 3000
rule deny tcp source 192. 168.10.10 0.0.0.0
destination 202. 10. 100. 100 0.0.0.0 destination-port eq 21/ftp//禁止PC1访问FTP服务
rule permit tcp destination- port eq ftp/放行其他客户机访问FTP服务
rule permit ip//放行其他客户机的网络流量
int g0/0/0.1traffic-filter inbond acl 3000
拓扑图
第一步实现全网互通
二层交换机
第一台路由器
第二台路由器
先ping一下是可以ping通的
客户端这里也是可以上传和下载的
第二步扩展访问列表
测试vlan10是否还能连接服务器
……