模擬網絡環境如圖:
網絡環境如上圖:
第一步 : 我們要讓全網互通..............實現辦法好多,,可以用靜態路由也可以用動態路由。。
第二步: 我們就要在R1 上做一些規則來限制一些流量能不能通過。。。
ACL 共分爲兩種: 一種是標準 一種是擴展
1:標準的列表號在1--99之間 而且不支持協議的限制 還只看源IP地址不看目的地址
2:擴展的列表號在100--199之間 還支持協議 如: TCP UDP 等 而且不僅看源還要看目地
訪問控制列表一般分兩步: 第一 定義列表 第二 把列表應該於接口
訪問控制列表的格式:access-list 列表號 {permit | deny} 源IP
接口又分爲入站接口(in) 和出站接口(out)
如上圖 如果在R1上做 限制R1下面的網絡 就要將規則應用到出站接口上
例如: 不讓IP 192.168.1.20 訪問外面的網絡
access-list 10 deny host 192.168.1.20 //定義訪問列
access-list 10 permit host 192.168.1.10 // 允許1.10這個IP出去
access-list 10 deny 192.168.1.0 0.0.0.7 //這是拒絕 1.1--1.7這個網段的IP
進接口F0/1 ip access-group 10 out //這就是把上面的列表應該在接口F0/1上也就是出站接口
ACL 匹配順序是 : 從上向下找 如果匹配第一條 就不在向下查找。。如果不匹配則向下查找,,如果最後一條也不能匹配,,就安默認規則走 丟棄數據包
所以一般把小範圍的寫在前面:
還有就是 不能單獨刪除某一條 刪一條就等於都刪除了。。
如果基於協議來控制的話 標準的控制列表就不能做到了 這時候就是擴展控制列表出來的時候啦!
擴展列表的配置格式:
access 列表號 {permit | deny} protocol { 源IP 目的IP } {operator }
例如:允許網絡1.0/24的網絡 訪問網絡2.0/24 的IP流量通過,,而拒絕其他任何流量。。ACL 命令爲:
access-list 101 permit ip 192.168.1.0 0.0.0. 255 192.168.2.0 0.0.0.255 //允許的
access-list 101 deny ip any any //拒絕所以網絡
在把列表應該在F0/1上 ip access-group 101 out
在例如: 拒絕網絡1.0/24 訪問FTP服務器192.168.4.10/24的流量通過,,而允許其他的任何流量 ACL命令如下:
access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.4.2 eq 21
access-list 101 permit ip any any
在把列表應用在FO/0上 ip access-group 101 out in
注意: 每個方向上只能有一個ACL 也就是每個接口最有兩個ACL 一個入站方向 一個出站方向:
就上面的圖來說 現在有一個需求::
只允許192.168.1.10 telnet 登錄到R3上。。。同時也需要能正常通信,,其他主機都能正常通信。。
請寫出ACL訪問控制列表:並列表應該應用在那個接口上!