扩展ACL ---王贝的学习笔记

IP-ACL（3层ACL，针对的是3层流量）

标准ACL：
只能匹配IP数据包的 源IP地址

扩展ACL：
能够同时匹配IP数据包的(源IP 目标IP) 传输层协议

扩展ACL匹配流量，更加精确：     确定流量的唯一5元组：         源IP、目标IP、源端口、目标端口、传输层协议     对数据而言，凡是能够通过"传输层协议+端口号"的方式     进行表示的，则表示该数据是属于"应用层"。     路由器查找路由表时，有一个最长匹配原则，        匹配的越长，表示地址越精确。

实验名称：扩展ACL的原理与应用
实验拓扑：
实验需求：
R1可以ping通R4；
R1的 loopback 0 无法 telnet R4 ；
实验步骤：
1、确保网络互通
#基于拓扑图，配置设备端口地址；
#配置静态路由，确保网段互通；
&一个一个的写；
&默认路由： 0.0.0.0 0.0.0.0 -> 0.0.0.0/0 ,表示所有网络。

2、配置ACL策略                         想要抓取一个流量           必须了解一个流量            配置命令：(R2)               ip access-list extended Deny-telnet                     10  deny   tcp 10.10.1.0 0.0.0.255 10.10.4.0 0.0.0.255 eq telnet                     20  deny   tcp 10.10.1.0 0.0.0.255 192.168.34.0 0.0.0.255 eq telnet                     30  permit ip any any

!
或者

               ip access-list extended Deny-telnet                     10  deny   tcp 10.10.1.1 0.0.0.0 10.10.4.4 0.0.0.0 eq telnet                     20  deny   tcp 10.10.1.1 0.0.0.0 192.168.34.4 0.0.0.0 eq telnet                     30  permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.2553、调用ACL策略          R2:             interface fas0/1                ip access-group Deny-telnet in 4、验证ACL策略           R2:               show ip access-list               show ip interface fas0/1            R1:              telnet 10.10.4.4 /source-interface loopback 0 -> no               telnet 192.168.34.4 /source-interface loopback 0 -> no              其他所有地址之间的所有类型流量，都是通的。                   

注意：
ACL不会对本地设备发起的流量起作用，仅仅对穿越流量起作用；

=========================================================

ISP(internet service provider)

EMS