實驗11.ACL實驗

Orisland發表於2024-06-25

# 實驗11.ACL實驗
本實驗用於測試ACL,類似於防火牆。

拓撲

要求阻塞PC1到PC2和server的全部協議,阻塞client1到server1的icmp協議
拓撲

具體配置

首先利用ospf協議實現全網貫通,這裡不再做具體的配置說明,不嫌麻煩也可以用靜態一條條指.
ospf

這裡做的攔截,全部在R2的g0/0/0,當然如果需要也可以做在其他的路由上
注意這裡的acl埠範圍,分為簡單和複雜兩種不同的匹配原則,這裡因為需要精確匹配,所以使用了複雜匹配

  • R2
    • acl 3999
      • rule 1 deny icmp source 192.168.1.200 0 destination 192.168.4.100 0
      • rule 2 deny ip source 192.168.1.100 0 destination 192.168.4.100 0
      • rule 3 deny ip source 192.168.1.100 0 destination 192.168.3.100 0
    • int g0/0/0
      • ip address 2.1.1.2 255.255.255.0
      • traffic-filter inbound acl 3999 將acl規則配置在這個埠上,這裡可以調整流量方向
      • ospf enable 10 area 0.0.0.0

實驗結果

這裡為了做測試,對server1啟動http server的80埠,client可以透過80埠訪問serve,但是無法ping通伺服器
server config
ping失敗
80埠訪問成功

pc測試訪問全部失敗,符合預期
訪問失敗

結論

感覺很類似於防火牆,也很像ROS路由裡的防火牆匹配。