实验11.ACL实验

# 实验11.ACL实验
本实验用于测试ACL，类似于防火墙。

拓扑

要求阻塞PC1到PC2和server的全部协议，阻塞client1到server1的icmp协议

具体配置

首先利用ospf协议实现全网贯通，这里不再做具体的配置说明，不嫌麻烦也可以用静态一条条指.

这里做的拦截，全部在R2的g0/0/0，当然如果需要也可以做在其他的路由上
注意这里的acl端口范围，分为简单和复杂两种不同的匹配原则，这里因为需要精确匹配，所以使用了复杂匹配

• R2
  • acl 3999
    • rule 1 deny icmp source 192.168.1.200 0 destination 192.168.4.100 0
    • rule 2 deny ip source 192.168.1.100 0 destination 192.168.4.100 0
    • rule 3 deny ip source 192.168.1.100 0 destination 192.168.3.100 0
  • int g0/0/0
    • ip address 2.1.1.2 255.255.255.0
    • traffic-filter inbound acl 3999 将acl规则配置在这个端口上，这里可以调整流量方向
    • ospf enable 10 area 0.0.0.0

实验结果

这里为了做测试，对server1启动http server的80端口，client可以通过80端口访问serve，但是无法ping通服务器

pc测试访问全部失败，符合预期

结论

感觉很类似于防火墙，也很像ROS路由里的防火墙匹配。