标准访问控制列表
配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问
配置如下:
下面配置路由器端口的IP地址:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip address 192.168.2.2 255.255.255.0
R1(config-if)#no shutdown
R2>en
R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int f0/1
R2(config-if)#ip add 192.168.3.1 255.255.255.0
R2(config-if)#no sh
配置静态路由条目
R1(config-if)#exit
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.1
R1(config)#do show ip route
C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, FastEthernet0/1
S 192.168.3.0/24 [1/0] via 192.168.2.1
R2(config-if)#exit
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.2
R2(config)#do show ip route
S 192.168.1.0/24 [1/0] via 192.168.2.2
C 192.168.2.0/24 is directly connected, FastEthernet0/0
C 192.168.3.0/24 is directly connected, FastEthernet0/1
在R1上配置ACL
R1(config)#access-list 1 deny 192.168.1.3 0.0.0.0
R1(config)#access-list 1 permit any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#show access-lists
Standard IP access list 1
10 deny host 192.168.1.3 (4 match(es))
20 permit any
测试:
1、pc1 可以ping通pc3,但是pc2不可以ping通pc3
扩展访问控制列表的配置
需求描述
允许PC1访问Web服务器的WWW服务
禁止PC1访问Web服务器的其它服务(如ping)
下面配置路由器端口的IP地址:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip address 192.168.2.2 255.255.255.0
R1(config-if)#no shutdown
R2>en
R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int f0/1
R2(config-if)#ip add 192.168.3.1 255.255.255.0
R2(config-if)#no sh
配置静态路由条目
R1(config-if)#exit
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.1
R1(config)#do show ip route
C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, FastEthernet0/1
S 192.168.3.0/24 [1/0] via 192.168.2.1
R2(config-if)#exit
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.2
R2(config)#do show ip route
S 192.168.1.0/24 [1/0] via 192.168.2.2
C 192.168.2.0/24 is directly connected, FastEthernet0/0
C 192.168.3.0/24 is directly connected, FastEthernet0/1
在R1上配置扩展ACL
R1(config)#access-list 101 permit tcp host 192.168.1.2 host 192.168.3.2 eq www
R1(config)#access-list 101 deny ip host 192.168.1.2 host 192.168.3.2
R1(config)#int f0/0
R1(config-if)#ip ac
R1(config-if)#ip access-group 101 in
测试:
来源:CSDN
作者:狰狞、
链接:https://blog.csdn.net/patiencezzz/article/details/90346185