当前位置：首页 > news >正文

ACL流量控制实验

news 2025/7/15 9:53:00

在这里插入图片描述

很明显，要阻断vlan 10和vlan 20之间的通信，源IP还是vlan 10网段的，那么就把ACL配置在虚拟接口vlan 20上面；如果配置在入接口上面，方向是这样的：

在这里插入图片描述

这个入接口只能控制源为vlan 20网段的流量，而我们配置的要求是源IP为vlan 10网段的，因此配在vlan 20接口的入方向没有任何控制作用。

三层交换机：

access-list 10 deny 192.168.10.0 0.0.0.255 access-list 10 permit anyint vlan 20ip access-group 10 out

这是传统标准ACL的写法。

ip access-list v1010 deny 192.168.10.0 0.0.0.25520 permit anyint vlan 20ip access-group v10 out

这里就不能使用标准ACL了，如果使用标准ACL，那么根据源IP过滤，将会让vlan 10网段的主机无法使用任何服务;还有在这里用入接口，一般的扩展ACL都是配置在入接口，避免造成没有必要的资源浪费。

access-list 111 deny udp any eq 68 any eq 67access-list 111 permit ip any anyint vlan 10ip access-group 111 in

ip access-list extended abc10 deny udp any eq 68 any eq 6715 permit ip any any int vlan 10ip access-group abc in

这里一样的不能使用标准ACL，使用扩展ACL精确匹配。

access-list 104 udp any any eq 53access-list 104 permit ip any anyint vlan 10ip access-group 104 in

ip access-list extended bbb10 deny udp any any eq 5315 permit ip any anyint vlan 10ip access-group bbb in

在这里插入图片描述

ok，无法使用DNS服务导致域名无法解析。

access-list 103 deny tcp any any eq 80access-list 103 permit ip any any int vlan 10ip access-group 103 in

ip access-list extended ccc10 deny tcp any any eq 8015 permit ip any anyint vlan 10ip access-group ccc in

在这里插入图片描述

这里要注意了，我这里只配置了无法使用HTTP服务，DNS服务还是可以使用的，所以这里域名是已经解析了，但是无法访问HTTP服务导致的超时。

access-list 101 deny tcp any any eq 23access-list permit ip any anyint vlan 10ip access-group 101 inint vlan 20ip access-group 101 in

ip access-list extended ddd10 deny tcp any any eq 2315 permit ip any anyint vlan 10ip access-group ddd inint vlan 20ip access-group ddd in

在这里插入图片描述

传统标准ACL
- 分类数据：根据数据包中的源IP地址分类数据
- 增删改：只能按照顺序增加，不能从中间新增，删除一个规则即删除整条ACL
命名标准ACL
- 分类数据：根据数据包中的源IP地址分类数据
- 增删改：每条ACL中的规则都有唯一序号，按照序号大小匹配，可以按序号新增
传统扩展ACL
- 分类数据：可以根据数据包中的五元组来分类数据（源、目IP，协议号，源、目端口）
- 增删改：只能按照顺序增加，不能从中间新增，删除一个规则即删除整条ACL
命名扩展ACL
- 分类数据：可以根据数据包中的五元组来分类数据（源、目IP，协议号，源、目端口）
- 增删改：每条ACL中的规则都有唯一序号，按照序号大小匹配，可以按序号新增