ACL访问控制列表：access-list 10 permit 192.168.10.1

ACL访问控制列表

标准ACL语法

1. 创建ACL

access-list <编号> <动作> <源IP> <通配符掩码> 
// 编号范围 1-99
// 动作：permit 允许 、 deny 拒绝

2. 示例

//允许192.168.1.0/24g整个网络,0.0.0.255 反掩码
access-list 10 permit 192.168.1.0 0.0.0.255// 允许192.168.10.2单个IP通过
access-list 10 permit 192.168.10.2   //拒绝其他所有流量
access-list 10 deny any

3. 应用ACL

// 语法分两步骤
// 步骤1：先选择要应用ACL的端口 如 interface g0/0
// 步骤2：通过ACL编号及方向来应用ACL，格式如下
ip access-group <编号> <方向>    
// 方向 in / out 代表流量流入/流出路由器的方向
// 示例：
interface GigabitEthernet0/0				 // 第一步，进入G0/0端口 
ip access-group 10 in   					 // 第二步，在G0/0端口的入口方向应用编号为10的ACL

实践任务：
1.部门内部可以互通，但不能访问外网，除了经理
2.经理之间可以互通
3,业务经理只允许被财务经理访问

相当于

1.每个部门都是经理可以访问外部网络,其他的只能内部访问
2.只有经理可以互相访问通讯
3.30.1只可以被10.1访问

完成第一步
1.每个部门都是经理可以访问外部网络,其他的只能内部访问
深绿色R2

Router>en
Router#conf t
Router(config)#access-list 10 permit 192.168.10.1
Router(config)#access-list 10 deny any 
Router(config)#int g0/2
Router(config-if)#ip access-group 10 out

浅绿色R3

Router>en
Router#conf t
Router(config)#access-list 10 permit 192.168.30.1
Router(config)#access-list 10 deny any 
Router(config)#int g0/2
Router(config-if)#ip access-group 10 out

蓝色R5

Router>en
Router#conf t
Router(config)#access-list 10 permit 192.168.20.2
Router(config)#access-list 10 deny any 
Router(config)#int g0/0
Router(config-if)#ip access-group 10 out

完成第一步就相当于完成第二步
- 控制了只有经理才能访问外网，就相当于内部成员访问不到外面的网络
- 就只有经理能访问外面的网络，就只有经理能够互相通讯

完成第三步

浅绿色R4

30.1只可以被10.1访问
这边设置3.3.3.0能通，是因为前面设置R3的·时候被限制，需要重新开启

Router>en
Router#conf t
Router(config)#access-list 10 permit 3.3.3.0 0.0.0.255
Router(config)#access-list 10 permit 192.168.10.1
Router(config)#access-list 10 deny any 
Router(config)#int g0/0
Router(config-if)#ip access-group 10 in

任务1：192.168.10.1 可访问外网 40.1不可以
10.1可以访问其他网络，限制40.1不可以访问外面的任何网络，内部可以

任务2：只允许192.168.20.0  访问 192.168.30.0内的主机
30.0的网络可以被20.0的网络访问，其他的外网不可以

192.168.10.1可以访问外网，192.168.40.1不可以访问外网

在多层交换机进行

Switch>
Switch>en
Switch#conf t
Switch(config)#access-list 10 permit 192.168.10.1
Switch(config)#access-list 10 deny any 
Switch(config)#int f0/2
Switch(config-if)#ip access-group 10 out

只允许192.168.20.0 访问 192.168.30.0内的主机

路由器

Router#conf t
Router(config)#access-list 10 permit 192.168.20.0 0.0.0.255
Router(config)#access-list 10 deny any 
Router(config)#int g0/1
Router(config-if)#ip access-group 10 in

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/bicheng/80732.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！