acl根基设置(acl设置原则)

[db:作者]

1.ACL-拜候控制列表的感化:读取第三层和第四层的报头信息，按照预界说的法则对流量停止挑选和过滤他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
第3层报头信息:源IP和目标IP
第4层报头信息:源、目标端口号、TCP/UDP协议
拜候列表的挪用偏向他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
传入:流量将进入当地路由器，并由当地路由器处置他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
传出:它已被当地路由器处置，流量将分开当地路由器他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
战略完成后，入接口挪用和出接口挪用的区分:假如入接口挪用对当地路由器有用，假如出接口挪用对当地路由器无效，则流量在数据转发进程中对下一个路由器有用他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
二他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。拜候控制列表1的处置原则他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。路由条目将只婚配一次他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2.ACL拜候控制列表中路由条目标婚配顺序是从上到下他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
3.ACL拜候控制列表意味着拒绝一切4个ACL拜候控制列表他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。必须最少开释一个路由条目他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
三他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。拜候控制列表1的范例他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。标准拜候控制列表只能按照源IP地址停止过滤
标准拜候控制列表的列表号是2000-2999他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。通话原则:靠近方针他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2.扩大拜候控制列表可以按照源和目标IP地址、TCP/UDP协议、源和目标端口号停止过滤他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。与标准的拜候控制列表相比，流量控制加倍切确他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
扩大拜候控制列表的列表号是3000-3999他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。呼唤原则:切近泉源他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
在AR路由器上用一只手臂发送号令
[]int g0/0/0
裁撤封闭
[]int g0/0/0.1
点端接vid10的封装方式为802.1q，G0/0/0.1分为vlan10他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
add 192 . 168 . 10 . 124/设备IP和掩码长度
arp广播使能//开启ARP广播功用
[]intg 0/0/0.2 otlg终端vid 20
ip地址192.168.20.1 24
arp广播启用
标准拜候控制列表acl 2000建立一个列表编号为2000的标准拜候控制列表他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
法则Denysource 192.168.10.0.0.0.255拒绝192.168.10.0网段(子网掩码是通配符掩码法则permit source any每个语句的行号间隔5接口挪用列表开释其他路由条目标默许ACL他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
整数g0/0/0.2
出站-出站接口
入站接口
流量过滤出站/入站ACL 2000挑选在出站/入站接口上挪用list 2000以扩大拜候控制列表他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
acl编号3000
法则拒绝tcp源192他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。168.10.10 0.0.0.0
目标地202.10.100.100 0 . 0 . 0目标地端口EQ21/FTP//PC1被制止拜候FTP办事
法则答应TCP方针端口eq FTP/答应其他客户端拜候FTP办事他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
法则答应ip//经过其他客户真个收集流量他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
int G0/0/0.1流量过滤器入站acl 3000
四他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。现实运转拓扑图
第一步是实现全网互通他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
第2层交换机
第一台路由器
第二台路由器
可以先ping一下他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端也可以在这里上传下载他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
第二步是扩大拜候列表
测试vlan10能否仍能毗连到办事器
总结：ACL设置的时辰需要首先全网互通，互通今后再操纵ACL战略的设备