ACL基础框架.docVIP

ACL基础框架 看图 为何要使用ACL，限定特定的Ip能登录到我的路由器中： R3这台路由器，希望4.4.4.4这个地址穿过R3,到达R2,R1，不希望4.4.4.5穿过R3到达R2，R1。如果我们直接通过路由器的策略（路由转发例如rip和静态路由）我们宣告的是一个网络而不是一台主机。这就不适用于这种需求。 还有，如果我是网管，我希望只有我一个人能访问R1--R8这8台路由器，如果设置密码会存在密码泄露的问题。我们可以通过ACL做控制。 R1左方接了好几个局域网，R2希望：R1有部分局域网的主机穿透R2到达R3 R1是基层单位，R2属于二级机构，R3是总部。R1只能与R2通信。R2只能与R3通信，所以我们通过路由来解决，R1和R2之间有路由而R1和R3之间没有路由。如果R3上有个网站下发一个通知，R2能看到而R1不能看到，R2必须每次转发消息到R1上，我们不建议上述做法。我们希望R1下面的客户端只能访问R3的WEB服务器，所以R1和R3之间有路由。但是一旦它们之间有路由，R1就不但能访问R3的WEB服务器，也能访问其他服务器。这样矛盾就产生了。所以我们可以用ACL来控制，控制R1下面的客户端只能访问R3的WEB服务器。同时R3上怎么做：R2可以访问我的任何服务器，而R1只能访问我的WEB服务器。选择在哪台上面做效果最好，路由器负担最轻是网络工程师要考虑的。 ACL的核心在路由可达的情况下，对数据包的转发进行控制，灵活控制转发来的数据包哪些可以过，哪些不可以过。同一个路由器上面有不同的需求，对于不同的接口允许和拒绝的数据包是不一致的，灵活多变的。 ACL如何定义:全局模式下定义，配置ACL的列表。在哪个接口上运用了就在哪个接口上起作用。如果R3是个上级机构，下面3个接口连了3个部门，对每个接口也就是每个部门的运用是不一样的。比如：每个公司的权限不一样，你希望公司老总能看到财务报表而后勤公司不能看到财务报表。 在不同的接口上运用相同的规则可能会起到相同的作用，但是它对路由器的负担和压力是不一样的，我们网络工程师必须要极大程度上减少设备的压力，减少带宽。同样的ACL 在不同接口上都可以运用。举例：R1上面过来100个数据包，我只要前50个包，我可以在R3的入口上面过滤，但是这个数据包就已经占用了广域网带宽，也可以在R1的出口过滤。我还可以在R2的入口或者出口上面做控制。但是带来的效果是不一样的，我们广域网的带宽是很有限的。作为网络工程是要尽可能的减少带宽的浪费和设备的压力。 标准ACL（编号1-99，1300-1999）和扩展ACL（100-199，2000-2699）他们都可以在入口或者出口上定义。 标准ACL是检查源地址，决定让你是否通过。例如：R2接口0/0上使用标准的ACL，通过查看源地址决定让你的包是否能进入R2里面。或者让你这个包是否能从S0/0口出去。 扩展的ACL：检查源和目的IP地址，来决定是否转发。 标准ACL定义了很多ACL，但是不能删除1条，如果删除就把整个组的ACL都删除了，但是扩展的ACL，可以进行单条的删除。 一．如何定义ACL： ACCESS里面先定义一个编号，来确定到底是标准的（编号1-99，1300-1999）还是扩展ACL（100-199，2000-2699） 告诉R2是允许它通过还是拒绝它通过 源IP地址段或者源和目的 二．把它运用到某个接口上，是否达到过滤的目的 在做实验之前，首先要做的是R1R2R3让两两可以访问，路由可达。R1，R3上使用默认路由，见到数据包就往R2上面送。R2上见到目标是1.0.0.0的我都从S0/0口发送出去，见到3.0.0.0的都从S0/1口转发出去，最终从R1远程登录R3看能否被过滤。 第四十四集----编号型标准控制访问列表(一) 如何去定义一个ACL，并在接口上使用，通过实验看是否起作用，允许和拒绝的含义，同一个接口上能否运用两个以上的ACL？ 看图8route，首先我们把R1R2R3的路由要配通， R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2 R3(config)# ip route 0.0.0.0 0.0.0.0 23.1.1.1 R2(config)# ip route 3.0.0.0 255.0.0.0 23.1.1.2 R2(config)# ip route 1.0.0.0 255.0.0.0 12.1.1.1 下面测试一下是否能通 R1#ping 3.3.3.3 //使用扩展ping源地址是1.1.1.1 可以通 下面在R1上面启用2个loopback R1(config)#int loopback 1 R1(config-if)#ip add 1.1.2.1 255.255.255.