ACL配置实例
拓扑图如下:
实验一:标准访问控制列表
1、设置访问控制列表1,禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器,而192、168、2、0/24这个网段中得其它主机可以正常访问。
设置访问控制列表如下: R1(config)#access-list 1 deny host 192、168、2、2 R1(config)#access-list 1 permit any 将访问控制列表应用到接口F0/0得出站方向上 R1(config)#int f0/0 R1(config-if)#ip access-group 1 out 2、设置访问控制列表2,只允许192、168、2、0/24这个网段中得主机可以访问外网,192、168、1、0/24这个网段得主机则不可以。
设置访问控制列表 R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255 将访问控制列表应用到S0/0得出站方向上 R1(config)#int serial 0/0 R1(config-if)#ip access-group 2 out 3、设置访问控制列表3,只允许192、168、2、3这台主机可以使用telnet连接
R1。
设置访问控制列表 R1(config)#access-list 3 permit host 192、168、2、3 设置VTY得登录密码 R1(config)#line vty 0 4 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#access-class 3 in R1(config-line)#exit R1(config)#enable password wnt 4、查瞧访问控制列表
R1#show access-lists Standard IP access list 1 deny host 192、168、2、2 (4 match(es)) permit any (15 match(es)) Standard IP access list 2 permit 192、168、2、0 0、0、0、255 (4 match(es)) Standard IP access list 3 permit host 192、168、2、3 (2 match(es))
2 match(es)这些信息显示就是过滤包得数据,可以使用clear access-list
//在入站方向上应用访问控制列表3 counters命令来清除。
5、查瞧配置在接口上得访问控制列表
R1#show ip interface f0/0 FastEthernet0/0 is up, line protocol is up (connected) Internet address is 192、168、1、1/24 Broadcast address is 255、255、255、255 ………… Outgoing access list is 1 Inbound access list is not set 6、删除访问控制列表
删除访问控制列表要从两个方面入手,一就是删除访问控制列表,二就是取
消访问控制列表有接口上得应用。
R1(config)#no access-list 1 R1(config)#int f0/0 R1(config-if)#no ip access-group 1 out 实验二:扩展访问控制列表
扩展访问控制列表得语法:
access-list [100-199] [permit/deny] 协议 源IP 源IP反码 目标IP 目标IP反码 条件[eq] [具体协议/端口号] 1、在SERVER上搭建、DNS服务如下:
2、测试从三台PC中就是否可以正常访问各种服务。
ACL配置实例
