扩展ACL
基本配置 1.IP地址配置 ISP: int gi0/0/0 #进入接口gi0/0/0中 ip add 172.16.10.2 24 #配置IP地址和子网掩码 quit #退出接口配置模式 int gi0/0/1 #进入接口gi0/0/1中 ip add 172.16.20.2 24 #配置IP地址和子网掩码 quit #退出接口配置模式 R2: int gi0/0/0 #进入接口gi0/0/0中 ip add 172.16.10.1 24 #配置IP地址和子网掩码 quit #退出接口配置模式 int gi0/0/1 #进入接口gi0/0/1中 ip add 192.168.10.2 24 #配置IP地址和子网掩码 quit #退出接口配置模式 R3: int gi0/0/0 #进入接口gi0/0/0中 ip add 172.16.20.1 24 #配置IP地址和子网掩码 quit #退出接口配置模式 int gi0/0/1 #进入接口gi0/0/1中 ip add 192.168.20.2 24 #配置IP地址和子网掩码 quit #退出接口配置模式 2.OSPF配置 ISP: ospf 1 #宣告ospf协议,进程号为1 area 0 #区域为0,骨干区域 network 172.16.10.0 0.0.0.255 #宣告直连网段 network 172.16.20.0 0.0.0.255 #宣告直连网段 quit #退出ospf配置 R2: ospf 1 #宣告ospf协议,进程号为1 area 0 #区域为0,骨干区域 network 172.16.10.0 0.0.0.255 #宣告直连网段 network 192.168.10.0 0.0.0.255 #宣告直连网段 quit #退出ospf配置 R3: ospf 1 #宣告ospf协议,进程号为1 area 0 #区域为0,骨干区域 network 172.16.20.0 0.0.0.255 #宣告直连网段 network 192.168.20.0 0.0.0.255 #宣告直连网段 quit #退出ospf配置 Server1配置:
Clinet1配置:
Client1可以ping通Server1,但是不能访问网站
[ISP]acl 3000 #创建acl访问控制列表,名称为3000 [ISP-acl-adv-3000]rule 5 deny tcp source 192.168.20.1 0 destination-port eq www #拒绝Client1访问http,但是可以ping通IP地址 [ISP-acl-adv-3000]rule 10 permit ip #允许所有IP地址通过 [ISP-acl-adv-3000]quit #退出acl配置模式 [ISP]int GigabitEthernet 0/0/0 #进入接口gi0/0/0中 [ISP-GigabitEthernet0/0/0]traffic-filter outbound acl 3000 #调用出接口,并绑定acl3000 [ISP-GigabitEthernet0/0/0]quit #退出接口配置模式