cisco实现ACL配置

1. 什么是ACL

大家先看下面这张图：配置文件可以点此下载

当给路由器R1和路由器R2均配好路由选择协议之后

PC1可以ping通PC3
PC2也可以ping通PC3

那如果我现在不想让PC2去ping通PC3咋办，那就是去实现ACL（可以在路由器R2上去实现，也可以在路由器R1上，我下边在R2上实现）

2. 给各个路由器配置端口IP和路由协议

配置路由器R1:int f0/0ip add 192.168.1.1 255.255.255.0no shutint e1/0ip add 192.168.2.1 255.255.255.0no shutint s0/1ip add 10.1.1.1 255.255.255.0clock rate 64000no shut/*配置ospf*/router ospf 100network 192.168.1.0 0.0.0.255 area 0network 192.168.2.0 0.0.0.255 area 0network 10.1.1.0    0.0.0.255 area 0

配置路由器R2:int s0/1ip add 10.1.1.2 255.255.255.0no shuint f0/0ip add 192.168.3.1 255.255.255.0no shut/*配置ospf*/router ospf 100network 192.168.3.0 0.0.0.255 area 0network 10.1.1.0    0.0.0.255 area 0

此时就实现了以下

PC1可以ping通PC3
PC2也可以ping通PC3

你可以自行试试看

回到刚开始说的那如果我现在不想让PC2去ping通PC3咋办，那就是去实现ACL（可以在路由器R2上去实现，也可以在路由器R1上，我下边在R2上实现）

3. 路由器R2上实现ACL

大家不要着急，我先将命令写下来，稍后逐一讲解

在路由器R2上配置ACLaccess-list 1 deny 192.168.2.0 0.0.0.255access-list 1 perm anyint f0/0ip access-group 1 out

此时在PC1和PC2上分别ping PC3,PC2是ping不通的，这就达到了ACL的效果

access-list 1 deny 192.168.2.0 0.0.0.255，
- 这句中1是ACL的编号，如果路由器是IP协议，这个编号1~99之间你可以随便取
- deny表示是拒绝
- 192.168.2.0表示前面deny的ip地址
- 通用格式为：access-list access-list-number {permit|deny} source {source-wildcard}
- source为前面{permit|deny}的ip地址，{source-wildcard}叫通配符掩码（反码），我具体也不是太清楚这个
可以看到下面还有一句access-list 1 perm any
这是因为在进行ACL验证时，是逐条验证的，先验证你写的第一条，如果第一条匹配，就不验证第二条了，如果第一条不匹配才验证第二条，就比如在这个例子中
- 若PC1去ping PC3，在R2处匹配时，先去匹配access-list 1 deny 192.168.2.0 0.0.0.255，发现不能匹配，那就继续往下走，去匹配access-list 1 perm any，发现匹配
- 若PC2去ping PC3，在R2处匹配时，先去匹配access-list 1 deny 192.168.2.0 0.0.0.255，发现匹配，就直接deny PC2的请求了，而不去匹配第二条

注意：在ACL匹配时如果你写的列表里面那几条都没匹配到，那默认就是deny即拒绝

最后两句
int f0/0
ip access-group 1 out
指明了ACL具体应用在哪一个接口上

刚才讲列表时用到了编号，即access-list 1 deny 192.168.2.0 0.0.0.255这里使用了1，其实也可以自己起名字的

命名标准ACL的配置
首先在路由器R2上删除原来的ACLno access-list 1
再配置命名标准ACLconf tip access-list standard hahapermit 192.168.1.0 0.0.0.255deny 192.168.2.0 0.0.0.255permit any
将命名标准ACL应用到接口上
int f0/0ip access-group haha out

下面这篇文章似乎也不错，可以参考

cisco实现ACL配置相关推荐

常见企业拓扑Cisco配置：三层交换机互联、DHCP配置、路由器交换机配置、NAT静态地址转换、DMZ区域的ACL配置
常见企业拓扑Cisco配置:三层交换机互联.DHCP配置.路由器交换机配置.NAT静态地址转换.DMZ区域的ACL配置网络拓扑及要求任务一:建立三层交换机互联拓扑,A楼静态,B楼DHCP 任务二: ...
Cisco 自反ACL真机配置实例
Cisco 自反ACL真机配置实例某个机会下接触到Cisco的自反ACL ,自反ACL主要实现单项访问类似于防火墙基于会话的方式控制访问,自反ACL在有匹配到对应数据流时,设备自动生成一条自反ACL ...
Cisco PIX防火墙配置命令大全
Cisco PIX防火墙配置命令大全来源: 作者:XUEYAN 出处:巧巧读书 2007-04-26 进入讨论组关键词:子网掩码协议路由器服务器访问控制一.PI ...
cisco asa5520 基本配置一般网络机构来理解asa5520
cisco asa5520 基本配置一般网络机构来理解asa5520 外网-----asa5520----分别是内网和dmz asa配置都在全局模式下配置,很多跟cisco路由交换的一样(大同小异) ...
华为acl怎么生效_华为交换机ACL配置的一些东西
这是华为ACL配置中流策略的配置命令.华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用.华为需要先配ACL,然后配流分类(traffic classifier tc1),将ACL ...
《Cisco/H3C交换机配置与管理完全手册（第2版）》终稿封面和目录
无数网友一直殷切期待和关注的<Cisco/H3C交换机配置与管理完全手册>(第2版)一书即将于本月底正式上市了.到时对于真实读者,写书评后可以参加全额返款的抽奖活动,加入我的微博(本博客首 ...
h3c 3600 acl 配置滤源IP是网关的ARP报文的ACL规则
h3c 3600 acl 配置滤源IP是网关的ARP报文的ACL规则悬赏分:100 - 解决时间:2009-3-8 14:30 星号之间是我在网上查到的华为交换机的配置方法: ********** ...
CISCO 3550交换机配置DHCP三步骤
CISCO 3550交换机配置DHCP三步骤 http://network.51cto.com 2010-09-29 16:15 佚名 IT168 我要评论(0) 下面我们就针对CISCO 3 ...
Cisco交换机密码配置整理
Cisco交换机密码配置整理一:Telnet登陆密码配置 Switch(config)#line vty 0 4 Switch(config-line)#password 123456 Switch ...

cisco实现ACL配置

1. 什么是ACL

2. 给各个路由器配置端口IP和路由协议

3. 路由器R2上实现ACL

cisco实现ACL配置相关推荐

最新文章

热门文章