实验11.ACL实验
# 实验11.ACL实验
本实验用于测试ACL,类似于防火墙。
拓扑
要求阻塞PC1到PC2和server的全部协议,阻塞client1到server1的icmp协议
具体配置
首先利用ospf协议实现全网贯通,这里不再做具体的配置说明,不嫌麻烦也可以用静态一条条指.
这里做的拦截,全部在R2的g0/0/0,当然如果需要也可以做在其他的路由上
注意这里的acl端口范围,分为简单和复杂两种不同的匹配原则,这里因为需要精确匹配,所以使用了复杂匹配
- R2
- acl 3999
- rule 1 deny icmp source 192.168.1.200 0 destination 192.168.4.100 0
- rule 2 deny ip source 192.168.1.100 0 destination 192.168.4.100 0
- rule 3 deny ip source 192.168.1.100 0 destination 192.168.3.100 0
- int g0/0/0
- ip address 2.1.1.2 255.255.255.0
- traffic-filter inbound acl 3999
将acl规则配置在这个端口上,这里可以调整流量方向 - ospf enable 10 area 0.0.0.0
- acl 3999
实验结果
这里为了做测试,对server1启动http server的80端口,client可以通过80端口访问serve,但是无法ping通服务器
pc测试访问全部失败,符合预期
结论
感觉很类似于防火墙,也很像ROS路由里的防火墙匹配。
