第六部分,访问控制列表。访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。应用场景有校园网中教师网和学生网分别管理,通过acl控制内网与外网的访问权限等。
网络拓扑图如下:
R1以下部分属于教师网,可以访问外网,R1以上部分为学生网,通过acl列表控制,我们将实现192.168.50.0-192.168.50.127段主机无法访问http服务器(192.168.10.1),主要代码:
access-list 1 deny 192.168.50.0 0.0.0.127
代码:
##基础配置
#r0
en conf t int f0/0 ip add 192.168.10.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.20.1 255.255.255.0 no shut exit router ospf 1 network 192.168.10.0 0.0.0.255 area 1 network 192.168.20.0 0.0.0.255 area 1
#r1
en conf t int s0/0/1 ip add 192.168.30.1 255.255.255.0 no shut int s0/1/0 ip add 192.168.40.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.20.2 255.255.255.0 no shut exit router ospf 1 network 192.168.30.0 0.0.0.255 area 1 network 192.168.20.0 0.0.0.255 area 1 network 192.168.40.0 0.0.0.255 area 1
#r2
en conf t int f0/0 ip add 192.168.50.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.30.2 255.255.255.0 no shut exit router ospf 1 network 192.168.30.0 0.0.0.255 area 1 network 192.168.50.0 0.0.0.255 area 1
#r3
en conf t int f0/0 ip add 192.168.60.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.40.2 255.255.255.0 no shut exit router ospf 1 network 192.168.40.0 0.0.0.255 area 1 network 192.168.60.0 0.0.0.255 area 1
##acl控制列表
#r0
exit access-list 1 deny 192.168.50.0 0.0.0.127 access-list 1 permit any int f0/0 ip access-group 1 out
结果检测:
pc0(ip地址192.168.60.1,属于排除范围)不能访问http服务器,其他pc正常访问服务器。
pc0不能访问:
pc1、pc2、pc3正常: