ACL访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机。借助访问控制列表,可有效地控制用户对网络的访问,从而最大程度保障网络安全。
项目拓扑
项目拓扑如图:
需求分析
PC0可与PC1及Server0连通,PC1不可以与Server0连通。
因PC0与PC1处于相同网段,所以无需配置即可连通。借助路由设备,PC0与PC1也可以与Server0连通。
项目方案
阻止PC1通过路由器,即可实现项目需求。
清空PC1的网关地址可以实现项目需求,但效果不可控,我们通过ACL访问控制列表来实现。
方案步骤
1 | Continue with configuration dialog? [yes/no]: no |
注意:因为只需阻止PC1通过路由器即可实现项目需求,所以只需配置路由设备即可。
方案测试
下图中左侧为PC0的连通测试,右侧为PC1:
项目扩展
ACL分为标准型访问控制列表,与扩展型访问控制列表。区别是标准型只能限制来源地址,扩展型可限制来源地址、来源端口、目的地址、目的端口等等;
ACL默认会在规则最后添加一条deny any,如设置的规则为deny,最后需要添加一条permit any才可以;
端口调用ACL时一定要判断数据的方向,根据方向决定进口、出口。
