# 實驗11.ACL實驗
本實驗用於測試ACL,類似於防火牆。
拓撲
要求阻塞PC1到PC2和server的全部協議,阻塞client1到server1的icmp協議
具體配置
首先利用ospf協議實現全網貫通,這裡不再做具體的配置說明,不嫌麻煩也可以用靜態一條條指.
這裡做的攔截,全部在R2的g0/0/0,當然如果需要也可以做在其他的路由上
注意這裡的acl埠範圍,分為簡單和複雜兩種不同的匹配原則,這裡因為需要精確匹配,所以使用了複雜匹配
- R2
- acl 3999
- rule 1 deny icmp source 192.168.1.200 0 destination 192.168.4.100 0
- rule 2 deny ip source 192.168.1.100 0 destination 192.168.4.100 0
- rule 3 deny ip source 192.168.1.100 0 destination 192.168.3.100 0
- int g0/0/0
- ip address 2.1.1.2 255.255.255.0
- traffic-filter inbound acl 3999
將acl規則配置在這個埠上,這裡可以調整流量方向 - ospf enable 10 area 0.0.0.0
- acl 3999
實驗結果
這裡為了做測試,對server1啟動http server的80埠,client可以透過80埠訪問serve,但是無法ping通伺服器
pc測試訪問全部失敗,符合預期
結論
感覺很類似於防火牆,也很像ROS路由裡的防火牆匹配。