ACL应用之ICMP测试工具Ping的工作原理是什么?发送icmp报完发送与回应两个方向都要能通。ping是通过什么协议的报文实现的?icmp协议报文 协议号tcp1ACL的默认规则是什么?ACL是不
.
ACL应用之ICMP
测试工具Ping的工作原理是什么?
发送icmp报完发送与回应两个方向都要能通。
ping是通过什么协议的报文实现的?
icmp协议报文 协议号tcp1
ACL的默认规则是什么?
ACL是不会对设备自己产生的流量起到作用,所有设置acl是在距离源地址最近设备的最近接口上进行设置。
如何确定数据包的方向?
数据包的方向根据源IP地址和目标地址的传动方向确定是输入还是输出。
案例问题
如图配置IP地址,配置路由,确保各设备互通
拒绝Client 1 ping 通 R2
拒绝 R1 ping 通 Server1
其他流量均可以互通
配置思路:
1.终端设备配置
-客户端(ip)
2.网络设备配置-路由器
-接口ip
3.配置ip地址和路由,确保网络互通
-静态路由和默认路由
-r1,r3设置默认路由 r2设置静态路由
4.配置ACL
5.调用ACL
6.验证与测试
7.测试
在Client1 测试:
Ping 192.168.12.2 ,不通;
Ping 192.168.23.2 ,不通;
Ping 192.168.2.254,不通;
在 R1 上测试:
Ping 192.168.3.1 , 不通;
Ping –a 192.168.1.254 192.168.3.1
在 R1 上配置并调用 ACL,拒绝 Client1 ping R2
[R1]acl 3000
[R1-acl-adv-3000]rule 10 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.12.2 0.0.0.0
[R1-acl-adv-3000]rule 20 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.2.254 0.0.0.0
[R1-acl-adv-3000]rule 30 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.23.2 0.0.0.0
[R1-acl-adv-3000]q
[R1]dis acl all
Total quantity of nonempty ACL number is 1
Advanced ACL 3000, 3 rules
Acl's step is 5
rule 10 deny icmp source 192.168.1.1 0 destination 192.168.12.2 0
rule 20 deny icmp source 192.168.1.1 0 destination 192.168.2.254 0
rule 30 deny icmp source 192.168.1.1 0 destination 192.168.23.2 0
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/2]q
在 R2 上配置并调用 ACL,拒绝 R1 ping Server1
[R2]acl 3000
[R2-acl-adv-3000]rule 10 deny icmp source 192.168.1.254 0.0.0.0 destination 192.
168.3.1 0.0.0.0
[R2-acl-adv-3000]rule 20 deny icmp source 192.168.12.1 0.0.0.0 destination 192.1
68.3.1 0.0.0.0
[R2-acl-adv-3000]q
[R2]dis acl all
Total quantity of nonempty ACL number is 1
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 10 deny icmp source 192.168.1.254 0 destination 192.168.3.1 0
rule 20 deny icmp source 192.168.12.1 0 destination 192.168.3.1 0
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
3 案例3:ACL 应用之ICMP
3.1 问题
如图配置IP地址,配置路由,确保各设备互通
拒绝Client 1 ping 通 R2
拒绝 R1 ping 通 Server1
其他流量均可以互通
3.2 方案
搭建实验环境,如图-3所示。
图-3
3.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 - Client 1
地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.2542)配置终端设备 – Client 2
地址:192.168.2.1 掩码:255.255.255.0 网关:192.168.2.254配置终端设备 – Server1
地址:192.168.3.1 掩码:255.255.255.0 网关:192.168.3.2543)配置网络设备 – R1
<Huawei>system-view // 进入系统模式
[Huawei]sysname R1 // 更改设备名称
[R1]interface gi0/0/2 // 连接 Client1
[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2] quit
[R1]interface gi0/0/0 // 连接 R2的接口
[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0] quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 // 去往其他网段的默认路由
4)配置网络设备 – R2
<Huawei>system-view // 进入系统模式
[Huawei]sysname R2 // 更改设备名称
[R2]interface gi0/0/2 // 连接 PC1
[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2] quit
[R2]interface gi0/0/1 // 连接 R1 的接口
[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1] quit
[R2]interface gi0/0/0 // 连接 R3 的接口
[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0] quit
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 // 去往Client1的网段
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 // 去往Server1的网段
5)配置网络设备 – R3
<Huawei>system-view // 进入系统模式
[Huawei]sysname R3 // 更改设备名称
[R3]interface gi0/0/2 // 连接 Server1
[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2] quit
[R3]interface gi0/0/1 // 连接 R2 的接口
[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1] quit
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 // 去往其他网段的默认路由
6)在 R1 上配置并调用 ACL,拒绝 Client1 ping R2
[R1] acl 3000
[R1-acl-adv-3000]rule 10 deny icmp source 192.168.1.1 0 destination 192.168.12.2 0
[R1-acl-adv-3000]rule 20 deny icmp source 192.168.1.1 0 destination 192.168.23.2 0
[R1-acl-adv-3000]rule 30 deny icmp source 192.168.1.1 0 destination 192.168.2.254 0
[R1] interface gi0/0/2
[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 // 在该接口入向调用ACL
7)在 R2 上配置并调用 ACL,拒绝 R1 ping Server1
[R2]acl 3000
[R2-acl-adv-3000]rule 10 deny icmp source 192.168.1.254 0 destination 192.168.3.1 0
[R2-acl-adv-3000]rule 20 deny icmp source 192.168.12.1 0 destination 192.168.3.1 0
[R2] interface gi0/0/1
[R2-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 // 在该接口入向调用ACL
8)测试
在Client1 测试:
Ping 192.168.12.2 ,不通;
Ping 192.168.23.2 ,不通;
Ping 192.168.2.254,不通;
在 R1 上测试:
Ping 192.168.3.1 , 不通;
Ping –a 192.168.1.254 192.168.3.1 , 不通
