当前位置：首页 > wzjs >正文

移动网站建设条件免费网站注册免费网站申请

wzjs 2025/9/1 22:08:24

移动网站建设条件,免费网站注册免费网站申请,平面设计公司企业logo设计,中国室内设计者联盟官网ACL流量控制实验拓扑图1.让vlan 10和vlan 20之间无法通信，源IP为vlan 10网段先分析选择端口和入方向还是出方向很明显，要阻断vlan 10和vlan 20之间的通信，源IP还是vlan 10网段的，那么就把ACL配置在虚拟接口vlan 20上面&#xf…

ACL流量控制实验

拓扑图

在这里插入图片描述

1.让vlan 10和vlan 20之间无法通信，源IP为vlan 10网段

先分析选择端口和入方向还是出方向

很明显，要阻断vlan 10和vlan 20之间的通信，源IP还是vlan 10网段的，那么就把ACL配置在虚拟接口vlan 20上面；如果配置在入接口上面，方向是这样的：

在这里插入图片描述

这个入接口只能控制源为vlan 20网段的流量，而我们配置的要求是源IP为vlan 10网段的，因此配在vlan 20接口的入方向没有任何控制作用。

三层交换机：

access-list 10 deny 192.168.10.0 0.0.0.255 access-list 10 permit anyint vlan 20ip access-group 10 out

这是传统标准ACL的写法。

命名标准ACL的写法

ip access-list v1010 deny 192.168.10.0 0.0.0.25520 permit anyint vlan 20ip access-group v10 out

2.让vlan 10网段的主机无法获取DHCP服务

这里就不能使用标准ACL了，如果使用标准ACL，那么根据源IP过滤，将会让vlan 10网段的主机无法使用任何服务;还有在这里用入接口，一般的扩展ACL都是配置在入接口，避免造成没有必要的资源浪费。

传统扩展ACL

access-list 111 deny udp any eq 68 any eq 67access-list 111 permit ip any anyint vlan 10ip access-group 111 in

命名扩展ACL

ip access-list extended abc10 deny udp any eq 68 any eq 6715 permit ip any any int vlan 10ip access-group abc in

3.让vlan 10网段的主机无法使用DNS服务

这里一样的不能使用标准ACL，使用扩展ACL精确匹配。

传统扩展ACL

access-list 104 udp any any eq 53access-list 104 permit ip any anyint vlan 10ip access-group 104 in

命名扩展ACL

ip access-list extended bbb10 deny udp any any eq 5315 permit ip any anyint vlan 10ip access-group bbb in

测试：

在这里插入图片描述

ok，无法使用DNS服务导致域名无法解析。

4.让vlan 10无法访问HTTP服务

传统扩展ACL

access-list 103 deny tcp any any eq 80access-list 103 permit ip any any int vlan 10ip access-group 103 in

命名扩展ACL

ip access-list extended ccc10 deny tcp any any eq 8015 permit ip any anyint vlan 10ip access-group ccc in

测试：

在这里插入图片描述

这里要注意了，我这里只配置了无法使用HTTP服务，DNS服务还是可以使用的，所以这里域名是已经解析了，但是无法访问HTTP服务导致的超时。

5.除了vlan 8网管PC能telnet远程连接交换机外，其他vlan网段的主机都不能使用Telnet服务

传统命名ACL

access-list 101 deny tcp any any eq 23access-list permit ip any anyint vlan 10ip access-group 101 inint vlan 20ip access-group 101 in

命名扩展ACL

ip access-list extended ddd10 deny tcp any any eq 2315 permit ip any anyint vlan 10ip access-group ddd inint vlan 20ip access-group ddd in

测试：

在这里插入图片描述

小结：

传统标准ACL
- 分类数据：根据数据包中的源IP地址分类数据
- 增删改：只能按照顺序增加，不能从中间新增，删除一个规则即删除整条ACL
命名标准ACL
- 分类数据：根据数据包中的源IP地址分类数据
- 增删改：每条ACL中的规则都有唯一序号，按照序号大小匹配，可以按序号新增
传统扩展ACL
- 分类数据：可以根据数据包中的五元组来分类数据（源、目IP，协议号，源、目端口）
- 增删改：只能按照顺序增加，不能从中间新增，删除一个规则即删除整条ACL
命名扩展ACL
- 分类数据：可以根据数据包中的五元组来分类数据（源、目IP，协议号，源、目端口）
- 增删改：每条ACL中的规则都有唯一序号，按照序号大小匹配，可以按序号新增