2023年11月28日发(作者:)

ACL 实例

ACL配置实例

拓扑图如下:

实验一:标准访问控制列表

1、设置访问控制列表1,禁止19216822这台主机访问19216810/24

这个网段中的服务器,19216820/24这个网段中的其它主机可以正常访问。

设置访问控制列表如下:

R1(config)#access-list 1 deny host 19216822

R1(config)#access-list 1 permit any

将访问控制列表应用到接口F0/0的出站方向上

R1(config)#int f0/0

R1(config-if)#ip access-group 1 out

2、设置访问控制列表2,只允许19216820/24这个网段中的主机可以访问

外网,19216810/24这个网段的主机则不可以。

设置访问控制列表

R1(config)#access-list 2 permit 19216820 000255

将访问控制列表应用到S0/0的出站方向上

R1(config)#int serial 0/0

R1(config-if)#ip access-group 2 out

3、设置访问控制列表3,只允许19216823这台主机可以使用telnet连接

R1

ACL 实例

设置访问控制列表

R1(config)#access-list 3 permit host 19216823

设置VTY的登录密码

R1(config)#line vty 0 4

R1(config-line)#password cisco

R1(config-line)#login

R1(config-line)#access-class 3 in //在入站方向上应用访问控制列表3

R1(config-line)#exit

R1(config)#enable password wnt

4、查瞧访问控制列表

R1#show access-lists

Standard IP access list 1

deny host 19216822 (4 match(es))

permit any (15 match(es))

Standard IP access list 2

permit 19216820 000255 (4 match(es))

Standard IP access list 3

permit host 19216823 (2 match(es))

2 match(es)这些信息显示就是过滤包的数据,可以使用clear access-list

counters命令来清除。

5、查瞧配置在接口上的访问控制列表

R1#show ip interface f0/0

FastEthernet0/0 is up, line protocol is up (connected)

Internet address is 19216811/24

Broadcast address is 255255255255

…………

Outgoing access list is 1

Inbound access list is not set

6、删除访问控制列表

ACL 实例

删除访问控制列表要从两个方面入手,一就是删除访问控制列表,二就是取消

访问控制列表有接口上的应用。

R1(config)#no access-list 1

R1(config)#int f0/0

R1(config-if)#no ip access-group 1 out

实验二:扩展访问控制列表

扩展访问控制列表的语法:

access-list [100-199] [permit/deny] 协议 IP IP反码 目标IP 目标IP

反码 条件[eq] [具体协议/端口号]

1、在SERVER上搭建、DNS服务如下:

ACL 实例

ACL 实例

2、测试从三台PC中就是否可以正常访问各种服务。

ACL 实例

如上表明,FTP服务都可以正常工作,且其余三台PC都可以正常访问。

3、在R1上设置扩展访问控制列表101,禁止19216822这台主机PING

服务器,禁止19216823这台主机访问FTP服务。

R1(config)#access-list 101 deny icmp host 19216822 host 19216812

R1(config)#access-list 101 deny tcp host 19216823 host 19216812 eq

20

R1(config)#access-list 101 deny tcp host 19216823 host 19216812 eq

21

R1(config)#access-list 101 permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group 101 in

R1#show access-lists 101

Extended IP access list 101

deny icmp host 19216822 host 19216812

deny tcp host 19216823 host 19216812 eq 20

ACL 实例

deny tcp host 19216823 host 19216812 eq ftp

permit ip any any

4、在R1上设置扩展访问控制列表102,允许外网中的用户只能访问WWW服务。

R1(config)#access-list 102 permit tcp any host 19216812 eq www

R1(config)#int serial 0/0

R1(config-if)#ip access-group 102 in

5、在R1上设置扩展访问控制列表103,只允许19216822这台主机可以进

TELNET远程管理。

R1(config)#access-list 103 permit tcp host 19216822 any eq telnet

R1(config)#line vty 0 4

R1(config-line)#password cisco

R1(config-line)#login

R1(config-line)#access-class 103 in

R1(config-line)#exit

R1(config)#enable password wnt

实验二:命名访问控制列表

命名的IP acl提供的两个主要优点就是:

解决ACL号码不足的问题。

可以自由的删除ACL中的一条语句,而不必删除整个ACL(原本需要先取

消端口的规则应用,再用no+整个列表)

基于名字的IP ACL还有一个很好的优点就就是可以为每个ACL取一个有意

义的名字,便于日后的管理与维护

命名的标准ACL

1、定义命名的标准ACL wnt1,只允许19216822这台PC可以上外网。

R1(config)#ip access-list standard wnt1

R1(config-std-nacl)#permit host 19216822

R1(config-std-nacl)#exit

R1(config)#int serial 0/0

R1(config-if)#ip access-group wnt1 out

ACL 实例

2、向命令访问列表wnt1中新添加一条语句,允许19216810/24这个网段中

的主机也可以访问外网。

R1(config)#ip access-list standard wnt1

R1(config-std-nacl)#permit 19216810 000255

R1#show access-lists wnt1

Standard IP access list wnt1

permit host 19216822

permit 19216810 000255

3、删除命令访问列表wnt1中的语句,即实现不允许19216822 这台主机访

问外网。

R1(config)#ip access-list standard wnt1

R1(config-std-nacl)#no permit host 19216822

R1#show access-lists wnt1

Standard IP access list wnt1

permit 19216810 000255

//删除成功,这也就是命名访问控制列表的优点。

命名的扩展ACL

1、定义命名扩展ACL,禁止19216822这台主机PING通服务器,禁止192

16823这台主机访问FTP服务。

R1(config)#ip access-list extended wnt2

R1(config-ext-nacl)#deny icmp host 19216822 host 19216812

R1(config-ext-nacl)#deny tcp host 19216823 host 19216812 eq 21

R1(config-ext-nacl)#deny tcp host 19216823 host 19216812 eq 20

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group wnt2 in