温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

扩展ACL ---王贝的学习笔记

发布时间:2020-06-15 22:10:04 来源:网络 阅读:599 作者:mengxiang王贝 栏目:安全技术

IP-ACL(3层ACL,针对的是3层流量)

标准ACL:
只能匹配IP数据包的 源IP地址

扩展ACL:
能够同时匹配IP数据包的(源IP 目标IP) 传输层协议

扩展ACL匹配流量,更加精确:

     确定流量的唯一5元组:
         源IP、目标IP、源端口、目标端口、传输层协议

     对数据而言,凡是能够通过“传输层协议+端口号”的方式
     进行表示的,则表示该数据是属于“应用层”。

     路由器查找路由表时,有一个最长匹配原则,
        匹配的越长,表示地址越精确。

实验名称:扩展ACL的原理与应用
实验拓扑:
实验需求:
R1可以ping通R4;
R1的 loopback 0 无法 telnet R4 ;
实验步骤:
1、确保网络互通
#基于拓扑图,配置设备端口地址;
#配置静态路由,确保网段互通;
&一个一个的写;
&默认路由: 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有网络。

2、配置ACL策略              
           想要抓取一个流量
           必须了解一个流量

            配置命令:(R2)
               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet
                     20  deny   tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet
                     30  permit ip any any

!
或者

               ip access-list extended Deny-telnet
                     10  deny   tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet
                     20  deny   tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet
                     30  permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

3、调用ACL策略
          R2:
             interface fas0/1
                ip access-group Deny-telnet in 
4、验证ACL策略
           R2: 
              show ip access-list 
              show ip interface fas0/1 
           R1:
              telnet 10.10.4.4 /source-interface loopback 0 -> no 
              telnet 192.168.34.4 /source-interface loopback 0 -> no
              其他所有地址之间的所有类型流量,都是通的。                   

注意:
ACL不会对本地设备发起的流量起作用,仅仅对穿越流量起作用;

=========================================================

ISP(internet service provider)

EMS

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI