ACL:访问控制列表
拓扑图如下:
需求:
- R1可以ping通R3。
- R1不能通过Telnet登陆到R3。
首先R1、R2和R3配置如图的IP,然后在R2的s0/0端口上进行ACL配置,具体命令如下:
conf t
//对tcp的23号端口deny
access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 23
//允许其他包通过
access-list 100 permit ip any any
//进入s0/0
int s0/0
//应用ACL设置(对in的包进行控制)
ip access-group 100 in
现在我们在R3上开启vty登录:
下面我们来看结果:
ping的结果和telnet的结果显示:
结果显示正确。
现在我们使用word来命名列表,命令有所不同:
conf t
//testACL是我们的控制列表的名字
ip access-list extended testACL
10 deny tcp 192.168.1.0 0.0.0.255 any eq 23
20 permit ip any any
//然后在s0/0上应用
int s0/0
no ip access-group 102 //删除之前应用的列表
//应用
ip access-group testACL
结果同上。