命名ACL
第一步:创建一个ACL命名,要求名字字符串要唯一
命令格式:ip access-list{ standard | extended } name
第二步:定义访问控制列表
标准ACL命令格式: { permit | deny } source source-wildcard
扩展ACL命令格式: { permit | deny } protocol source source-wildcard [operatoroperand] destination destination-wildcard [operator operand] [established]
例如:
!定义访问控制列表
router(config)#ipaccess-list extended permit-one
router(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
!删除访问控制列表(这里可以删除某一条ACL语句)
router(config-ext-nacl)# no permit tcp 192.168.1.0 0.0.0.255 192.168.2.00.0.0.255 eq 80
第三步:应用到某一个接口上
命令格式:{ protocol } access-group name {in | out}
例如:
router(config)# int f0/0
router(config-if)ip access-group permit-one out
实验拓扑图:
sw配置:
接口f1/1和f1/2做vlan10
接口f1/3做vlan20
关闭路由功能:no ip routing
接口f1/0接口做trunk
sw-3配置:
配置接口f1/1的IP
配置vlan10和vlan20的网关
接口f1/0做trunk
PC1的配置:
PC2的配置:
PC3的配置:
PC4的配置:
证明未配置ACL前,全网互通
sw-3配置:
配置ACL命令为:kgc
允许192.168.10.10访问PC1
拒绝192.168.10.0网段其他访问PC1
允许其他所有网段访问PC1
设置接口f1/1为出口
利用PC2、PC3、PC4进行pingPC1确认实验结果:
实验结束,设置完成