协议
簇的所有通信流量时,
可以使用标准访问控制列表来实现这一
目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机
IP
地址的所有通信流量通过交换机的出口。
标准
ACL
的配置语句为:
Switch#access-list access-list-number
(
1~99)
{permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-ma
sk]}
例
1
:允许
192.168.3.0
网络上的主机进行访问:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例
2
:禁止
172.10.0.0
网络上的主机访问:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例
3
:允许所有
IP
的访问:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例
4
:禁止
192.168.1.33
主机的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
上面的
0.0.0.255
和
0.0.255.255
等为
32
位的反掩码,
0
表示“检查相应的位”,
1
表示“不检查相应的位”。
如表示
33.0.0.0
这个网段,
使用通配符掩码应为
0.255.255.255
。
利用扩展
ACL
控制网络访问
扩展访问控制列表既检查数据包的源地址,
也检查数据包的目的地址,
还检查数据包的
特定