ACL技術 擴展ACL

實驗目的：實現ACL的功能

實驗原理：經過建立ACL中的條件，在調用ACL的時候，就能夠經過ACL條件實現對數據的篩選。

實驗步驟：

第一步：

配置PC機基本信息

192.168.1.1

255.255.255.0

沒有網關，本實驗不須要

192.168.1.2

255.255.255.0

給路由器配置網關

inter g0/0

no shutdown

ip add 192.168.1.254  255.255.255.0

第二步，show ip access-lists，驗證查看ACL上的信息

第三步：建立ACL，

        access-list 1 deny 192.168.1.1  0.0.0.0

        access-list 1 permit any

第四步：     

         inter g0/0     

         ip access-group 1 in 

      

注意：因爲access -list 1 deny （因爲任何一個ACL後面）後面都隱含着deny any，因此會同時把192.168.1.2擋住，只要以下操做即可以解除：

        access-list 1 permit any 就能夠了

若是要反過來，讓1.1 能ping通，1.2ping不通，以下

       no  access-list 1 deny 192.168.1.1  0.0.0.0

 而後從新做就能夠了

###########################################################

 工做中經常使用的ACL配置方式 - 命名的 ACL ：
建立ACL-
    GW(config)# ip access-list standard Deny-Ping
    GW(config-std-nacl)# 10 deny  192.168.1.2 0.0.0.0
    GW(config-std-nacl)# 20 permit any  
    GW(config-std-nacl)#exit
調用ACL-    
    GW(config)#interface g0/0
    GW(config-if)#ip access-group Deny-Ping in 

若是要換擴展ACL，no掉以上中的

    GW(config)#interface g0/0
    GW(config-if)#  no  ip access-group Deny-Ping in

    GW(config)#  no ip access-list standard Deny-Ping

###############################################################

爲了匹配更加精確的流量，咱們使用「擴展ACL」： 建立ACL-     ip access-list extended notPing       10  deny icmp  host 192.168.1.2 host 192.168.1.254 主機192.1.2到網關1.254的icmp（ping包）走不通，      20  permit  ip any  any  其餘的仍是能夠的，好比TCP，調用ACL-     interface g0/0       ip access-group notPing in  驗證——        ping      show  ip access-list       show  ip interface g0/0