ACL访问控制列表
题目需求:
首先给4台PC 配上ip地址 这里基本都会 不多讲解
首先给4台PC 配上ip地址 这里基本都会 不多讲解
然后做vlan划分 0和1 划分到vlan2 里 pc2和3 划分到vlan3里
直接上图 我就不写步骤了。然后我们做单臂路由,有的同学不会,我前面的文档有专门的 单臂路由和vlan'的文章,今天主要acl访问控制列表。
开始在路由1 上动手术下面我写步骤
开始在路由1 上动手术下面我写步骤
Router>en
Router#conf t
Router(config)#access-list 100 deny ip host 192.168.1.11 any 扩展列表拒绝 192.168.1.11 主机访问 网络
Router(config)#access-list 100 deny tcp host 192.168.2.11 host 8.8.8.8 eq www 拒绝 192.168.2.11 访问 8.8.8.8的 www服务,其他服务不受影响,看不出来所以 有加了一条语句
Router(config)#access-list 100 deny icmp host 192.168.2.11 host 8.8.8.8 拒绝 192.168.2.11 访问8.8.8.8 的数据
Router(config)#access-list 100 permit ip any any 允许 任何ip访问从上向下逐条比对,一旦比对成功,就不在进行后续比对
Router(config)#inter fa0/1 数据的出口
Router(config)#ip access-group 100 out 引用进去
Router(config)#access-list 110 deny ip host 192.168.2.11 host 192.168.1.11 后面一样的意思
Router(config)#access-list 110 permit ip any any
Router(config)#inter fa0/0.2
Router(config-subif)#ip access-group 110 out
Router(config)#access-list 120 deny ip host 192.168.1.11 host 192.168.2.11
Router(config)#access-list 120 permit ip any any
Router(config-subif)#inter fa0/0.3
Router(config-subif)#ip access-group 120 out
Router(config-subif)#end
规则如下:
1.从上向下逐条比对,一旦比对成功,就不再进行后续比对!
2.列表最后一行 隐含一条“拒绝所有”语句
3.列表做好后,要应用到指定的接口会生效
4.以数据的流向做参考,进入接口的数据叫in,离开的接口数据叫out。
5.列表中至少应该包含一条允许语句,否则所有 流量将被拒绝!
查看 列表 show ip access-list 跟列表号
附上测试结果!
pc0 能ping 通所有主机和 外网
Router#conf t
Router(config)#access-list 100 deny ip host 192.168.1.11 any 扩展列表拒绝 192.168.1.11 主机访问 网络
Router(config)#access-list 100 deny tcp host 192.168.2.11 host 8.8.8.8 eq www 拒绝 192.168.2.11 访问 8.8.8.8的 www服务,其他服务不受影响,看不出来所以 有加了一条语句
Router(config)#access-list 100 deny icmp host 192.168.2.11 host 8.8.8.8 拒绝 192.168.2.11 访问8.8.8.8 的数据
Router(config)#access-list 100 permit ip any any 允许 任何ip访问从上向下逐条比对,一旦比对成功,就不在进行后续比对
Router(config)#inter fa0/1 数据的出口
Router(config)#ip access-group 100 out 引用进去
Router(config)#access-list 110 deny ip host 192.168.2.11 host 192.168.1.11 后面一样的意思
Router(config)#access-list 110 permit ip any any
Router(config)#inter fa0/0.2
Router(config-subif)#ip access-group 110 out
Router(config)#access-list 120 deny ip host 192.168.1.11 host 192.168.2.11
Router(config)#access-list 120 permit ip any any
Router(config-subif)#inter fa0/0.3
Router(config-subif)#ip access-group 120 out
Router(config-subif)#end
规则如下:
1.从上向下逐条比对,一旦比对成功,就不再进行后续比对!
2.列表最后一行 隐含一条“拒绝所有”语句
3.列表做好后,要应用到指定的接口会生效
4.以数据的流向做参考,进入接口的数据叫in,离开的接口数据叫out。
5.列表中至少应该包含一条允许语句,否则所有 流量将被拒绝!
查看 列表 show ip access-list 跟列表号
附上测试结果!
pc0 能ping 通所有主机和 外网
pc1的结果 不能上网,ping不同202.106.1.2 也不能访问 192.168.2.11 2个vlan成员不能访问 但是能访问vlan2的服务器
pc2 vlan2服务器 可以访问任何主机和网络
最后 pc3 不能访问淘宝,能访问别的网络,但是不能访问192.168.1.11 其他服务器可以访问
本文转自 cs312779641 51CTO博客,原文链接:http://blog.51cto.com/chenhao6/1143424