acl练习

 https://blog.csdn.net/shengjie87/article/details/107659069

 

重点:基本ACL 编号为1-99 和1300-1399   ,高级ACL 100-199和2000-2699

 

 acl 3000

 [R2-acl-adv-3000]  rule deny tcp source 12.1.1.1 0.0.0.0 destination 202.10.100.10  0.0.0.0 destination-port eq 21
 

 //拒绝  源为12.1.1.1   目的地址为202.10.100.10 通过 21号端口通信    

ftp 控制端口

 

[R2-acl-adv-3000]rule deny tcp source 12.1.1.1 0.0.0.0 destination 202.10.100.10
 0.0.0.0 destination-port eq 20
//拒绝  源为12.1.1.1   目的地址为202.10.100.10 通过 20号端口(ftp数据端口)通信

ACL配置

实验拓扑

在这里插入图片描述

实验准备

配置4台主机

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

配置ftp服务器

在这里插入图片描述

在这里插入图片描述

实验思路

  • 如果要让vlan10 ping不通vlan20,可以在R1路由器上设置普通的acl策略,阻止源为vlan10网段的ip的访问,然后把策略应用到vlan20网关的接口上
  • 如果要让R1访问不了ftp服务器,可以在R2上做扩展acl策略,源为R1的出口ip,目标为ftp服务器地址,阻止的协议是tcp的20和21端口,然后把策略应用到R2的出接口上
  • 因为acl策略默认是拒绝所有的,所以做了拒绝具体的策略以后,别忘了还要放开其他的流量,所以还要加一条rule permit策略

实验步骤

二层交换机上的配置

单臂路由器R1的配置:

出口路由器R2的配置:

实验验证

没有配置acl策略之前,验证全网互通
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
R1路由器也可以ftp到服务器上
在这里插入图片描述
R1上配置acl 2000策略以后
在这里插入图片描述
R2配置了acl 3000以后
在这里插入图片描述

posted on 2022-02-21 11:46  码农at突泉  阅读(118)  评论(0)    收藏  举报