ACL技術 擴展ACL
實驗目的:實現ACL的功能
實驗原理:通過創建ACL中的條件,在調用ACL的時候,就可以通過ACL條件實現對數據的篩選。
實驗步驟:
第一步:
配置PC機基本信息
192.168.1.1
255.255.255.0
沒有網關,本實驗不需要
192.168.1.2
255.255.255.0
給路由器配置網關
inter g0/0
no shutdown
ip add 192.168.1.254 255.255.255.0
第二步,show ip access-lists,驗證查看ACL上的信息
第三步:創建ACL,
access-list 1 deny 192.168.1.1 0.0.0.0
access-list 1 permit any
第四步:
inter g0/0
ip access-group 1 in
註意:由於access -list 1 deny (由於任何一個ACL後面)後面都隱含著deny any,所以會同時把192.168.1.2擋住,只要如下操作便可以解除:
access-list 1 permit any 就可以了
如果要反過來,讓1.1 能ping通,1.2ping不通,如下
no access-list 1 deny 192.168.1.1 0.0.0.0
然後重新作就可以了
###########################################################
工作中常用的ACL配置方式 - 命名的 ACL :
創建ACL-
GW(config)# ip access-list standard Deny-Ping
GW(config-std-nacl)# 10 deny 192.168.1.2 0.0.0.0
GW(config-std-nacl)#exit
調用ACL-
GW(config)#interface fas0/0
GW(config-if)#ip access-group Deny-Ping in
如果要換擴展ACL,no掉以上中的
GW(config)#interface fas0/0
GW(config-if)# no ip access-group Deny-Ping in
GW(config)# no ip access-list standard Deny-Ping
###############################################################
為了匹配更加精確的流量,我們使用“擴展ACL”:
創建ACL-
ip access-list extended notPing
10 deny icmp host 192.168.1.2 host 192.168.1.254 主機192.1.2到網關1.254的icmp(ping包)走不通,
20 permit ip any any 其他的還是可以的,比如TTCP,
調用ACL-
interface fas0/0
ip access-group notPing in
驗證——
ping
show ip access-list
show ip interface fas0/0
ACL技術 擴展ACL