# 高级ACL ![image-20240830093604188](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830093604188.png) ![image-20240830093532029](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830093532029.png) ### 一 、IP & Routing - **PC、Client、Server** - **AR1** ``` [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 192.168.12.1 24 [AR1-GigabitEthernet0/0/0]int g0/0/2 [AR1-GigabitEthernet0/0/2]ip add 192.168.1.254 24 [AR1-GigabitEthernet0/0/2]quit [AR1]ip route-static 192.168.2.0 24 192.168.12.2 [AR1]ip route-static 192.168.3.0 24 192.168.12.2 [AR1]ip route-static 192.168.23.0 24 192.168.12.2 ``` - **AR2** ``` [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip add 192.168.12.2 24 [AR2-GigabitEthernet0/0/0]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip add 192.168.23.2 24 [AR2-GigabitEthernet0/0/1]int g0/0/2 [AR2-GigabitEthernet0/0/2]ip add 192.168.2.254 24 [AR2-GigabitEthernet0/0/2]quit [AR2]ip route-static 192.168.1.0 24 192.168.12.1 [AR2]ip route-static 192.168.3.0 24 192.168.23.3 ``` - **AR3** ``` [AR3]int g0/0/0 [AR3-GigabitEthernet0/0/0]ip add 192.168.23.3 24 [AR3-GigabitEthernet0/0/0]int g0/0/2 [AR3-GigabitEthernet0/0/2]ip add 192.168.3.254 24 [AR3-GigabitEthernet0/0/2]quit [AR3]ip route-static 192.168.1.0 24 192.168.23.2 [AR3]ip route-static 192.168.2.0 24 192.168.23.2 [AR3]ip route-static 192.168.12.0 24 192.168.23.2 ``` ### 二、连通性测试 > 三个终端全部互通 ### 三、ACL - **AR1** ``` [AR1]acl 3000 [AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80 [AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255 [AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any [AR1]int g0/0/2 [AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000 ``` *解析* - `[AR1]acl 3000`:在标记为AR1的网络设备上创建一个编号为3000的高级访问控制列表(ACL)。 - `[AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80`:在ACL 3000中添加一条规则,具体参数如下: - `rule 10`:指定该规则的序号为10,这将决定规则的评估顺序。 - `permit tcp`:表示该规则将允许匹配条件的流量,并且流量使用的是TCP协议。 - `source 192.168.1.1 0.0.0.0`:指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址,没有变化。 - `destination 192.168.3.1 0.0.0.0`:指定流量的目标IP地址为192.168.3.1。同样,`0.0.0.0`通配符表示只匹配指定的IP地址。 - `destination-port eq 80`:指定该规则将匹配目标端口为80的流量,80端口是HTTP流量的标准端口。 > 这条ACL规则允许来自源IP地址192.168.1.1到目标IP地址192.168.3.1的TCP流量,且仅限于端口80。 - `[AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255`:在ACL 3000中添加一条规则,具体参数如下: - `rule 20`:指定该规则的序号为20,这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。 - `permit ip`:表示该规则将允许匹配条件的IP流量,这里没有指定具体的传输层协议,因此这条规则将匹配所有使用IP协议的流量,包括TCP、UDP、ICMP等。 - `source 192.168.1.1 0.0.0.0`:指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址,没有变化。 - `destination 192.168.2.0 0.0.0.255`:指定流量的目标IP地址范围为192.168.2.0/24网段。`0.0.0.255`通配符表示匹配192.168.2.0这个网段内的所有地址,即192.168.2.0到192.168.2.255。 > 这条ACL规则允许来自源IP地址192.168.1.1的所有IP流量(包括所有协议)到目标IP地址范围192.168.2.0/24网段。 - `[AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any`:在ACL 3000中添加一条规则,具体参数如下: - `rule 30`:指定该规则的序号为30,这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。 - `deny ip`:表示该规则将拒绝匹配条件的IP流量,这里没有指定具体的传输层协议,因此这条规则将拒绝所有使用IP协议的流量,包括TCP、UDP、ICMP等。 - `source 192.168.1.1 0.0.0.0`:指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址,没有变化。 - `destination any`:指定流量的目标IP地址可以是任何地址。这意味着这条规则将应用于从源IP地址192.168.1.1到任何目标IP地址的流量。 > 这条ACL规则的作用是拒绝来自IP地址192.168.1.1的所有IP流量,无论这些流量的目标地址是什么。由于这条规则是在序号30的位置,它将在评估完所有序号小于30的规则之后才被考虑。如果之前的规则已经允许了某些流量,那么这些流量将不会被这条拒绝规则影响。 - `[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000`:在进入GigabitEthernet 0/0/2接口配置模式之后,这条命令用于配置接口的入站(inbound)流量过滤规则。 - `traffic-filter` 命令用于指定应用于接口的ACL(访问控制列表) - `inbound` 表示过滤的是进入该接口的流量。 - `acl 3000` 指定了之前创建的高级ACL 3000将应用于这个接口的入站流量。 > 在AR1设备的GigabitEthernet 0/0/2接口上应用编号为3000的高级ACL,以过滤进入该接口的流量。这意味着所有尝试通过GigabitEthernet 0/0/2接口进入设备的流量都将根据ACL 3000中的规则进行检查,并根据这些规则被允许或拒绝。 ### 四、功能性测试 - **Client ** - PING Server*【Defeat】* ![image-20240830105915275](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830105915275.png) - 访问 Server HTTP*【Success】* ![image-20240830105705010](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830105705010.png) - 访问 Server FTP*【Defeat】* ![image-20240830112318917](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830112318917.png)