ACL訪問控制列表——命名訪問控制列表（實操！！！）

時間 2019-11-06

標籤 acl 訪問控制列表命名简体版

原文原文鏈接

命名訪問控制列表可靈活的調整策略,前提是在標準訪問列表以及擴展訪問列表的基礎上,能夠使用no+ACL號刪除策略.也能夠使用ACL號+permit+ip追加ACL策略ide

實驗環境

一臺二層交換機
一臺三層交換機
四臺pc機

實驗需求

容許vlan10中pc2能夠訪問pc1
拒絕vlan10中其餘訪問pc1
容許其餘網段中的主機訪問pc1

實驗拓撲圖

1，配置sw二層交換機

sw#conf t     ##全局模式
sw(config)#vlan 10,20   ##建立vlan10，20
sw(config-vlan)#ex
sw(config)#do show vlan-sw b  ##查看vlan

sw(config)#int range fa1/1 -2     ##進入接口f1/1和f1/2
sw(config-if-range)#sw mo acc   ##建立接入鏈路
sw(config-if-range)#sw acc vlan 10  ##將接口放到vlan10中
sw(config-if-range)#ex

sw(config)#int f1/3    ##進入f1/3接口，建立接入鏈路放到vlan20中
sw(config-if)#sw mo acc
sw(config-if)#sw acc vlan 20

sw(config-if)#int f1/0  ##進入f1/0中建立trunk鏈路
sw(config-if)#sw mo t
sw(config-if)#sw t encapsulation dot1q
sw(config-if)#ex
sw(config)#no ip routing   ##關閉路由功能

2，配置sw-3三層交換機

sw3#conf t       ##進入全局模式
sw3(config)#int f1/1   進入f1/1接口
sw3(config-if)#no switchport   ##關閉二層接口
sw3(config-if)#ip add 192.168.100.1 255.255.255.0   ##配置接口網關地址
sw3(config-if)#no shut   開啓
sw3(config-if)#ex

sw3(config)#vlan 10,20  ##建立vlan10，20
sw3(config-vlan)#ex
sw3(config)#int vlan 10    ##進入vlan10配置網關地址
sw3(config-if)#ip add 192.168.10.1 255.255.255.0
sw3(config-if)#no shut
sw3(config-if)#ex
sw3(config)#int vlan 20   ##進入vlan20配置網關地址
sw3(config-if)#ip add 192.168.20.1 255.255.255.0
sw3(config-if)#no shut
sw3(config-if)#ex

sw3(config)#do show ip int b   ##查看接口ip

Vlan10                     192.168.10.1    YES manual up                    down    
Vlan20                     192.168.20.1    YES manual up                    down 

sw3(config)#int f1/0     ##進入f1/0接口建立trunk鏈路
sw3(config-if)#sw mo t
sw3(config-if)#sw t encapsulation dot1q
sw3(config-if)#ex

sw3(config)#do show ip route   ##查看路由表

C    192.168.10.0/24 is directly connected, Vlan10
C    192.168.20.0/24 is directly connected, Vlan20
C    192.168.100.0/24 is directly connected, FastEthe

3，配置pc機ip地址，測試全網互通性

pc機1：192.168.100.100
pc機2：192.168.10.10
pc機3：192.168.10.20
pc機4：192.168.20.20

測試是否全網互通

4，配置ACL命名訪問控制列表

sw3(config)#ip access-list standard test  
##設定模式及命名名稱，standard爲標準，extended爲擴展
sw3(config-std-nacl)#permit host 192.168.10.10   ##容許訪問主機ip
sw3(config-std-nacl)#deny 192.168.10.0 0.0.0.255  ##拒絕其餘10段訪問
sw3(config-std-nacl)#permit any  ##容許其餘全部主機訪問
sw3(config-std-nacl)#ex

sw3(config)#do show access-list   ##查看訪問控制列表
Standard IP access list test
        10 permit 192.168.10.10
        20 deny   192.168.10.0, wildcard bits 0.0.0.255
        30 permit any

sw3(config)#int f1/1  ##進入f1/1，將ACL應用於接口於出口方向
sw3(config-if)#ip access-group test out

5，測試ACL訪問控制結果

1，vlan10中的主機2可以與主機1相通

2，vlan10中的主機3不能與主機3相通

3，其餘網段的主機4能夠與主機1相通

謝謝閱讀！！！

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。