ACL訪問控制列表：access-list 10 permit 192.168.10.1

ACL訪問控制列表

標準ACL語法

1. 創建ACL

access-list <編號> <動作> <源IP> <通配符掩碼> 
// 編號范圍 1-99
// 動作：permit 允許 、 deny 拒絕

2. 示例

//允許192.168.1.0/24g整個網絡,0.0.0.255 反掩碼
access-list 10 permit 192.168.1.0 0.0.0.255// 允許192.168.10.2單個IP通過
access-list 10 permit 192.168.10.2   //拒絕其他所有流量
access-list 10 deny any

3. 應用ACL

// 語法分兩步驟
// 步驟1：先選擇要應用ACL的端口 如 interface g0/0
// 步驟2：通過ACL編號及方向來應用ACL，格式如下
ip access-group <編號> <方向>    
// 方向 in / out 代表流量流入/流出路由器的方向
// 示例：
interface GigabitEthernet0/0				 // 第一步，進入G0/0端口 
ip access-group 10 in   					 // 第二步，在G0/0端口的入口方向應用編號為10的ACL

實踐任務：
1.部門內部可以互通，但不能訪問外網，除了經理
2.經理之間可以互通
3,業務經理只允許被財務經理訪問

相當于

1.每個部門都是經理可以訪問外部網絡,其他的只能內部訪問
2.只有經理可以互相訪問通訊
3.30.1只可以被10.1訪問

完成第一步
1.每個部門都是經理可以訪問外部網絡,其他的只能內部訪問
深綠色R2

Router>en
Router#conf t
Router(config)#access-list 10 permit 192.168.10.1
Router(config)#access-list 10 deny any 
Router(config)#int g0/2
Router(config-if)#ip access-group 10 out

淺綠色R3

Router>en
Router#conf t
Router(config)#access-list 10 permit 192.168.30.1
Router(config)#access-list 10 deny any 
Router(config)#int g0/2
Router(config-if)#ip access-group 10 out

藍色R5

Router>en
Router#conf t
Router(config)#access-list 10 permit 192.168.20.2
Router(config)#access-list 10 deny any 
Router(config)#int g0/0
Router(config-if)#ip access-group 10 out

完成第一步就相當于完成第二步
- 控制了只有經理才能訪問外網，就相當于內部成員訪問不到外面的網絡
- 就只有經理能訪問外面的網絡，就只有經理能夠互相通訊

完成第三步

淺綠色R4

30.1只可以被10.1訪問
這邊設置3.3.3.0能通，是因為前面設置R3的·時候被限制，需要重新開啟

Router>en
Router#conf t
Router(config)#access-list 10 permit 3.3.3.0 0.0.0.255
Router(config)#access-list 10 permit 192.168.10.1
Router(config)#access-list 10 deny any 
Router(config)#int g0/0
Router(config-if)#ip access-group 10 in

任務1：192.168.10.1 可訪問外網 40.1不可以
10.1可以訪問其他網絡，限制40.1不可以訪問外面的任何網絡，內部可以

任務2：只允許192.168.20.0  訪問 192.168.30.0內的主機
30.0的網絡可以被20.0的網絡訪問，其他的外網不可以

192.168.10.1可以訪問外網，192.168.40.1不可以訪問外網

在多層交換機進行

Switch>
Switch>en
Switch#conf t
Switch(config)#access-list 10 permit 192.168.10.1
Switch(config)#access-list 10 deny any 
Switch(config)#int f0/2
Switch(config-if)#ip access-group 10 out

只允許192.168.20.0 訪問 192.168.30.0內的主機

路由器

Router#conf t
Router(config)#access-list 10 permit 192.168.20.0 0.0.0.255
Router(config)#access-list 10 deny any 
Router(config)#int g0/1
Router(config-if)#ip access-group 10 in

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/bicheng/80732.shtml
繁體地址，請注明出處：http://hk.pswp.cn/bicheng/80732.shtml
英文地址，請注明出處：http://en.pswp.cn/bicheng/80732.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！