diff --git a/B. 第二阶段/拓扑练习/0830_高级ACL.md b/B. 第二阶段/拓扑练习/0830_高级ACL.md new file mode 100644 index 0000000..f988f2d --- /dev/null +++ b/B. 第二阶段/拓扑练习/0830_高级ACL.md @@ -0,0 +1,126 @@ +# 高级ACL + +![image-20240830093604188](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830093604188.png) + +![image-20240830093532029](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830093532029.png) + +### 一 、IP & Routing + +- **PC、Client、Server** + +- **AR1** + + ``` + [AR1]int g0/0/0 + [AR1-GigabitEthernet0/0/0]ip add 192.168.12.1 24 + [AR1-GigabitEthernet0/0/0]int g0/0/2 + [AR1-GigabitEthernet0/0/2]ip add 192.168.1.254 24 + [AR1-GigabitEthernet0/0/2]quit + [AR1]ip route-static 192.168.2.0 24 192.168.12.2 + [AR1]ip route-static 192.168.3.0 24 192.168.12.2 + [AR1]ip route-static 192.168.23.0 24 192.168.12.2 + ``` + +- **AR2** + + ``` + [AR2]int g0/0/0 + [AR2-GigabitEthernet0/0/0]ip add 192.168.12.2 24 + [AR2-GigabitEthernet0/0/0]int g0/0/1 + [AR2-GigabitEthernet0/0/1]ip add 192.168.23.2 24 + [AR2-GigabitEthernet0/0/1]int g0/0/2 + [AR2-GigabitEthernet0/0/2]ip add 192.168.2.254 24 + [AR2-GigabitEthernet0/0/2]quit + [AR2]ip route-static 192.168.1.0 24 192.168.12.1 + [AR2]ip route-static 192.168.3.0 24 192.168.23.3 + ``` + +- **AR3** + + ``` + [AR3]int g0/0/0 + [AR3-GigabitEthernet0/0/0]ip add 192.168.23.3 24 + [AR3-GigabitEthernet0/0/0]int g0/0/2 + [AR3-GigabitEthernet0/0/2]ip add 192.168.3.254 24 + [AR3-GigabitEthernet0/0/2]quit + [AR3]ip route-static 192.168.1.0 24 192.168.23.2 + [AR3]ip route-static 192.168.2.0 24 192.168.23.2 + [AR3]ip route-static 192.168.12.0 24 192.168.23.2 + ``` + +### 二、连通性测试 + +> 三个终端全部互通 + +### 三、ACL + +- **AR1** + + ``` + [AR1]acl 3000 + [AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80 + [AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255 + [AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any + [AR1]int g0/0/2 + [AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000 + ``` + + *解析* + + - `[AR1]acl 3000`:在标记为AR1的网络设备上创建一个编号为3000的高级访问控制列表(ACL)。 + + - `[AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80`:在ACL 3000中添加一条规则,具体参数如下: + + - `rule 10`:指定该规则的序号为10,这将决定规则的评估顺序。 + - `permit tcp`:表示该规则将允许匹配条件的流量,并且流量使用的是TCP协议。 + - `source 192.168.1.1 0.0.0.0`:指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址,没有变化。 + - `destination 192.168.3.1 0.0.0.0`:指定流量的目标IP地址为192.168.3.1。同样,`0.0.0.0`通配符表示只匹配指定的IP地址。 + - `destination-port eq 80`:指定该规则将匹配目标端口为80的流量,80端口是HTTP流量的标准端口。 + + > 这条ACL规则允许来自源IP地址192.168.1.1到目标IP地址192.168.3.1的TCP流量,且仅限于端口80。 + + - `[AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255`:在ACL 3000中添加一条规则,具体参数如下: + + - `rule 20`:指定该规则的序号为20,这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。 + - `permit ip`:表示该规则将允许匹配条件的IP流量,这里没有指定具体的传输层协议,因此这条规则将匹配所有使用IP协议的流量,包括TCP、UDP、ICMP等。 + - `source 192.168.1.1 0.0.0.0`:指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址,没有变化。 + - `destination 192.168.2.0 0.0.0.255`:指定流量的目标IP地址范围为192.168.2.0/24网段。`0.0.0.255`通配符表示匹配192.168.2.0这个网段内的所有地址,即192.168.2.0到192.168.2.255。 + + > 这条ACL规则允许来自源IP地址192.168.1.1的所有IP流量(包括所有协议)到目标IP地址范围192.168.2.0/24网段。 + + - `[AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any`:在ACL 3000中添加一条规则,具体参数如下: + + - `rule 30`:指定该规则的序号为30,这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。 + - `deny ip`:表示该规则将拒绝匹配条件的IP流量,这里没有指定具体的传输层协议,因此这条规则将拒绝所有使用IP协议的流量,包括TCP、UDP、ICMP等。 + - `source 192.168.1.1 0.0.0.0`:指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址,没有变化。 + - `destination any`:指定流量的目标IP地址可以是任何地址。这意味着这条规则将应用于从源IP地址192.168.1.1到任何目标IP地址的流量。 + + > 这条ACL规则的作用是拒绝来自IP地址192.168.1.1的所有IP流量,无论这些流量的目标地址是什么。由于这条规则是在序号30的位置,它将在评估完所有序号小于30的规则之后才被考虑。如果之前的规则已经允许了某些流量,那么这些流量将不会被这条拒绝规则影响。 + + - `[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000`:在进入GigabitEthernet 0/0/2接口配置模式之后,这条命令用于配置接口的入站(inbound)流量过滤规则。 + + - `traffic-filter` 命令用于指定应用于接口的ACL(访问控制列表) + - `inbound` 表示过滤的是进入该接口的流量。 + - `acl 3000` 指定了之前创建的高级ACL 3000将应用于这个接口的入站流量。 + + > 在AR1设备的GigabitEthernet 0/0/2接口上应用编号为3000的高级ACL,以过滤进入该接口的流量。这意味着所有尝试通过GigabitEthernet 0/0/2接口进入设备的流量都将根据ACL 3000中的规则进行检查,并根据这些规则被允许或拒绝。 + +### 四、功能性测试 + +- **Client ** + + - PING Server*【Defeat】* + + ![image-20240830105915275](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830105915275.png) + + - 访问 Server HTTP*【Success】* + + ![image-20240830105705010](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830105705010.png) + + - 访问 Server FTP*【Defeat】* + + ![image-20240830112318917](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830112318917.png) + + + + \ No newline at end of file