访问控制列表ACL配置命令

笑着哭i 提交于 2019-12-06 09:23:25

标准访问控制列表

配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问
配置如下:

下面配置路由器端口的IP地址:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip address 192.168.2.2 255.255.255.0
R1(config-if)#no shutdown
R2>en
R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int f0/1
R2(config-if)#ip add 192.168.3.1 255.255.255.0
R2(config-if)#no sh

配置静态路由条目
R1(config-if)#exit
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.1
R1(config)#do show ip route
C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, FastEthernet0/1
S 192.168.3.0/24 [1/0] via 192.168.2.1

R2(config-if)#exit
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.2
R2(config)#do show ip route
S 192.168.1.0/24 [1/0] via 192.168.2.2
C 192.168.2.0/24 is directly connected, FastEthernet0/0
C 192.168.3.0/24 is directly connected, FastEthernet0/1

在R1上配置ACL
R1(config)#access-list 1 deny 192.168.1.3 0.0.0.0
R1(config)#access-list 1 permit any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#show access-lists
Standard IP access list 1
10 deny host 192.168.1.3 (4 match(es))
20 permit any

测试:
1、pc1 可以ping通pc3,但是pc2不可以ping通pc3

扩展访问控制列表的配置

需求描述
允许PC1访问Web服务器的WWW服务
禁止PC1访问Web服务器的其它服务(如ping)

下面配置路由器端口的IP地址:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip address 192.168.2.2 255.255.255.0
R1(config-if)#no shutdown
R2>en
R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int f0/1
R2(config-if)#ip add 192.168.3.1 255.255.255.0
R2(config-if)#no sh

配置静态路由条目
R1(config-if)#exit
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.1
R1(config)#do show ip route
C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, FastEthernet0/1
S 192.168.3.0/24 [1/0] via 192.168.2.1

R2(config-if)#exit
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.2
R2(config)#do show ip route
S 192.168.1.0/24 [1/0] via 192.168.2.2
C 192.168.2.0/24 is directly connected, FastEthernet0/0
C 192.168.3.0/24 is directly connected, FastEthernet0/1

在R1上配置扩展ACL
R1(config)#access-list 101 permit tcp host 192.168.1.2 host 192.168.3.2 eq www
R1(config)#access-list 101 deny ip host 192.168.1.2 host 192.168.3.2
R1(config)#int f0/0
R1(config-if)#ip ac
R1(config-if)#ip access-group 101 in

测试:

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!