使用扩展ACL封杀PING命令
使用扩展ACL封杀PING命令
实验要求:
1、路由器名称为R1、R2,并配置相关的IP地址,保持其连通性。
2、做扩展的访问控制列表,禁止R1PING到R2。

实验过程:
1、配置路由器的基本参数
使用扩展ACL封杀PING命令

使用扩展ACL封杀PING命令

2、验证连通性
使用扩展ACL封杀PING命令

使用扩展ACL封杀PING命令

3、创建ACL
使用扩展ACL封杀PING命令
注明:扩展ACL的编号范围为100-199。我们需要拒绝的是PING命令,它是属于ICMP协议,所以我们需要拒绝ICMP。用反掩码绝对匹配一个源地址,用反掩码绝对匹配一个目的地址。ACL有隐含拒绝的条目,它会拒绝所有的数据流量,为了防止数据流被误拒绝,我们可以加一条放行所有数据流量的条目。

4、检查ACL
使用扩展ACL封杀PING命令

5、应用ACL到接口
使用扩展ACL封杀PING命令

6、验证效果
使用扩展ACL封杀PING命令
注明:实验失败,依然可以PING通,
问题分析:对于ACL的放置位置,我们有以下的原则:扩展ACL放置在靠近源的位置,标准ACL放置在靠近目的位置,那么按照上述原则,我们创建一个扩展ACL,放置在源端,并没有错误。但对于ACL来说,它有一个重要特性就是,它不能过滤本地数据流,也就是说对于R1上发送的数据,设置在R1接口上的ACL并不能对它进行过滤,为了能对它进行过滤,那么我们需要在对端的R2上设置ACL.

7、在R2上设置并应用ACL
使用扩展ACL封杀PING命令

8、检验效果
使用扩展ACL封杀PING命令

注明:试验成功,PING不通,ICMP包被拒绝。

使用扩展ACL封杀PING命令