ACL应用之ICMP
测试工具Ping的工作原理是什么?
发送icmp报完发送与回应两个方向都要能通。
ping是通过什么协议的报文实现的?
icmp协议报文 协议号tcp1
ACL的默认规则是什么?
ACL是不会对设备自己产生的流量起到作用,所有设置acl是在距离源地址最近设备的最近接口上进行设置。
如何确定数据包的方向?
数据包的方向根据源IP地址和目标地址的传动方向确定是输入还是输出。
案例问题
如图配置IP地址,配置路由,确保各设备互通
拒绝Client 1 ping 通 R2
拒绝 R1 ping 通 Server1
其他流量均可以互通
配置思路:
1.终端设备配置
-客户端(ip)
2.网络设备配置-路由器
-接口ip
3.配置ip地址和路由,确保网络互通
-静态路由和默认路由
-r1,r3设置默认路由 r2设置静态路由
4.配置ACL
5.调用ACL
6.验证与测试
7.测试
在Client1 测试:
Ping 192.168.12.2 ,不通;
Ping 192.168.23.2 ,不通;
Ping 192.168.2.254,不通;
在 R1 上测试:
Ping 192.168.3.1 , 不通;
Ping –a 192.168.1.254 192.168.3.1
在 R1 上配置并调用 ACL,拒绝 Client1 ping R2
[R1]acl 3000
[R1-acl-adv-3000]rule 10 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.12.2 0.0.0.0
[R1-acl-adv-3000]rule 20 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.2.254 0.0.0.0
[R1-acl-adv-3000]rule 30 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.23.2 0.0.0.0
[R1-acl-adv-3000]q
[R1]dis acl all
Total quantity of nonempty ACL number is 1
Advanced ACL 3000, 3 rules
Acl's step is 5
rule 10 deny icmp source 192.168.1.1 0 destination 192.168.12.2 0
rule 20 deny icmp source 192.168.1.1 0 destination 192.168.2.254 0
rule 30 deny icmp source 192.168.1.1 0 destination 192.168.23.2 0
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/2]q
在 R2 上配置并调用 ACL,拒绝 R1 ping Server1
[R2]acl 3000
[R2-acl-adv-3000]rule 10 deny icmp source 192.168.1.254 0.0.0.0 destination 192.
168.3.1 0.0.0.0
[R2-acl-adv-3000]rule 20 deny icmp source 192.168.12.1 0.0.0.0 destination 192.1
68.3.1 0.0.0.0
[R2-acl-adv-3000]q
[R2]dis acl all
Total quantity of nonempty ACL number is 1
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 10 deny icmp source 192.168.1.254 0 destination 192.168.3.1 0
rule 20 deny icmp source 192.168.12.1 0 destination 192.168.3.1 0
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
