ACL應用之ICMP
測試工具Ping的工作原理是什麼?
發送icmp報完發送與迴應兩個方向都要能通。
ping是通過什麼協議的報文實現的?
icmp協議報文 協議號tcp1
ACL的默認規則是什麼?
ACL是不會對設備自己產生的流量起到作用,所有設置acl是在距離源地址最近設備的最近接口上進行設置。
如何確定數據包的方向?
數據包的方向根據源IP地址和目標地址的傳動方向確定是輸入還是輸出。
案例問題
如圖配置IP地址,配置路由,確保各設備互通
拒絕Client 1 ping 通 R2
拒絕 R1 ping 通 Server1
其他流量均可以互通
配置思路:
1.終端設備配置
-客戶端(ip)
2.網絡設備配置-路由器
-接口ip
3.配置ip地址和路由,確保網絡互通
-靜態路由和默認路由
-r1,r3設置默認路由 r2設置靜態路由
4.配置ACL
5.調用ACL
6.驗證與測試
7.測試
在Client1 測試:
Ping 192.168.12.2 ,不通;
Ping 192.168.23.2 ,不通;
Ping 192.168.2.254,不通;
在 R1 上測試:
Ping 192.168.3.1 , 不通;
Ping –a 192.168.1.254 192.168.3.1
在 R1 上配置並調用 ACL,拒絕 Client1 ping R2
[R1]acl 3000
[R1-acl-adv-3000]rule 10 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.12.2 0.0.0.0
[R1-acl-adv-3000]rule 20 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.2.254 0.0.0.0
[R1-acl-adv-3000]rule 30 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.23.2 0.0.0.0
[R1-acl-adv-3000]q
[R1]dis acl all
Total quantity of nonempty ACL number is 1
Advanced ACL 3000, 3 rules
Acl's step is 5
rule 10 deny icmp source 192.168.1.1 0 destination 192.168.12.2 0
rule 20 deny icmp source 192.168.1.1 0 destination 192.168.2.254 0
rule 30 deny icmp source 192.168.1.1 0 destination 192.168.23.2 0
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/2]q
在 R2 上配置並調用 ACL,拒絕 R1 ping Server1
[R2]acl 3000
[R2-acl-adv-3000]rule 10 deny icmp source 192.168.1.254 0.0.0.0 destination 192.
168.3.1 0.0.0.0
[R2-acl-adv-3000]rule 20 deny icmp source 192.168.12.1 0.0.0.0 destination 192.1
68.3.1 0.0.0.0
[R2-acl-adv-3000]q
[R2]dis acl all
Total quantity of nonempty ACL number is 1
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 10 deny icmp source 192.168.1.254 0 destination 192.168.3.1 0
rule 20 deny icmp source 192.168.12.1 0 destination 192.168.3.1 0
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
