ACL实验-高级ACL

 一、每一个acl都需要分配一个编号，成为acl编号，基本acl：2000-2999，高级acl：3000-3999，二层acl：4000-4999，用户自定义acl：5000-5999。一个acl的每一个规则有相应的编号，规则编号按照：10,20,30,40...

        基本acl：只能基于IP保温的源IP地址来定义规则。

       rule 10 deny/permit source 具体的IP地址 反掩码

     ACL进入接口使用，traffic-filter outbound/inbound acl 2000（将ACL应用在接口上）

       高级ACL：可以根据源IP地址，IP报文目的地址，IP报文的优先级，TCP报文的源端口号，目的端口号，UDP报文的源端口号，目的端口号等。

二、本题运用高级ACL实现。

      首先说一下FTP,WWW服务器的配置和使用：

 

在不做任何配置的情况下，CILENT是可以访问FTP和WWW的。

 

要实现客户1不能对服务器1进行FTP访问，客户2不能对服务器2进行www访问。则需要在路由器上配置ACL实现。

[AR1]acl 3000
[AR1-acl-adv-3000]rule 10 deny tcp source 192.168.1.1 0 destination 172.16.10.1 
0 destination-port eq 21（阻止1.1的访问IP地址为172.16.1.1端口为21的TCP报文）
[AR1-acl-adv-3000]rule 20 deny tcp source 192.168.1.2 0 destination 172.16.10.2 0
destination-port eq 80

[AR1-acl-adv-3000]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000（把ACL3000应用在入端口上）

[AR1]acl 2000
[AR1-acl-basic-2000]rule deny source 192.168.1.0 0.0.254.255（来自192.168.1.0/24P地址为奇数的主机不能访问服务器）
[AR1-acl-basic-2000]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter inbound 2000

解释：192.168.1.0网段奇数网段有：192.168.1.1、192.168.1.3、 192.168.1.5、 192.168.1.7 等，写成二进制前16位相同，第17-24位分别为：00000001,00000011,000000101,000000111，可以发现第24位都为1，故反掩码只需要第24位为0即可，故为：11111110，因此想要奇数网段通过只需要把反掩码设置为：0.0.254.255即可。

对客户1ping包抓包：