ACL流量控制实验

发布于:2025-07-15 ⋅ 阅读:(20) ⋅ 点赞:(0)

ACL流量控制实验

拓扑图

在这里插入图片描述

1.让vlan 10和vlan 20之间无法通信,源IP为vlan 10网段

  • 先分析选择端口和入方向还是出方向

很明显,要阻断vlan 10vlan 20之间的通信,源IP还是vlan 10网段的,那么就把ACL配置在虚拟接口vlan 20上面;如果配置在入接口上面,方向是这样的:

在这里插入图片描述

这个入接口只能控制源为vlan 20网段的流量,而我们配置的要求是源IP为vlan 10网段的,因此配在vlan 20接口的入方向没有任何控制作用。

三层交换机:

access-list 10 deny 192.168.10.0 0.0.0.255 

access-list 10 permit any

int vlan 20

ip access-group 10 out

这是传统标准ACL的写法。

命名标准ACL的写法

ip access-list v10

10 deny 192.168.10.0 0.0.0.255

20 permit any

int vlan 20

ip access-group v10 out

2.让vlan 10网段的主机无法获取DHCP服务

这里就不能使用标准ACL了,如果使用标准ACL,那么根据源IP过滤,将会让vlan 10网段的主机无法使用任何服务;还有在这里用入接口,一般的扩展ACL都是配置在入接口,避免造成没有必要的资源浪费。

传统扩展ACL

access-list 111 deny udp any eq 68 any eq 67

access-list 111 permit ip any any

int vlan 10

ip access-group 111 in

命名扩展ACL

ip access-list extended abc

10 deny udp any eq 68 any eq 67

15 permit ip any any 

int vlan 10

ip access-group abc in

3.让vlan 10网段的主机无法使用DNS服务

这里一样的不能使用标准ACL,使用扩展ACL精确匹配。

传统扩展ACL

access-list 104 udp any any eq 53

access-list 104 permit ip any any

int vlan 10

ip access-group 104 in

命名扩展ACL

ip access-list extended bbb

10 deny udp any any eq 53

15 permit ip any any

int vlan 10

ip access-group bbb in

测试:

在这里插入图片描述

ok,无法使用DNS服务导致域名无法解析。

4.让vlan 10无法访问HTTP服务

传统扩展ACL

access-list 103 deny tcp any any eq 80

access-list 103 permit ip any any 

int vlan 10

ip access-group 103 in

命名扩展ACL

ip access-list extended ccc

10 deny tcp any any eq 80

15 permit ip any any

int vlan 10

ip access-group ccc in

测试:

在这里插入图片描述

这里要注意了,我这里只配置了无法使用HTTP服务,DNS服务还是可以使用的,所以这里域名是已经解析了,但是无法访问HTTP服务导致的超时。

5.除了vlan 8网管PC能telnet远程连接交换机外,其他vlan网段的主机都不能使用Telnet服务

传统命名ACL

access-list 101 deny tcp any any eq 23

access-list permit ip any any

int vlan 10

ip access-group 101 in

 int vlan 20

ip access-group 101 in

命名扩展ACL

ip access-list extended ddd

10 deny tcp any any eq 23

15 permit ip any any

int vlan 10

ip access-group ddd in

int vlan 20

ip access-group ddd in

测试:

在这里插入图片描述
在这里插入图片描述

小结:

  • 传统标准ACL

    • 分类数据:根据数据包中的源IP地址分类数据
    • 增删改:只能按照顺序增加,不能从中间新增,删除一个规则即删除整条ACL

  • 命名标准ACL

    • 分类数据:根据数据包中的源IP地址分类数据
    • 增删改:每条ACL中的规则都有唯一序号,按照序号大小匹配,可以按序号新增

  • 传统扩展ACL

    • 分类数据:可以根据数据包中的五元组来分类数据(源、目IP,协议号,源、目端口)
    • 增删改:只能按照顺序增加,不能从中间新增,删除一个规则即删除整条ACL

  • 命名扩展ACL

    • 分类数据:可以根据数据包中的五元组来分类数据(源、目IP,协议号,源、目端口)
    • 增删改:每条ACL中的规则都有唯一序号,按照序号大小匹配,可以按序号新增

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布