注意:
1.如果acl没被调用,该条acl不起任何作用。
2.acl属于三层技术,智能部署在三层设备上面,acl适合用与不同网段互访的访问控制。
3.相同vlan相同网段的pc互访控制不适合用acl,建议使用端口隔离来实现。
注意事项:
1.一个接口的同一个方向,只能调用一个ACL
2.一个ACL里面可以有多个rule规则,从上往下一次执行
3.数据包一旦被rule匹配,就不再继续往下匹配(匹配即停止)
4.用来做数据包访问控制时,默认放过所以
实验一
基础配置:IP地址和静态路由使全网互通
需求:在R2配置基本ACL拒绝client1访问172.16.10.0/24网络
建立一个acl
<R2>sys
Enter system view, return user view with Ctrl+Z.
[R2]acl 2000
[R2-acl-basic-2000]rule 5 deny source 192.168.10.1 0
在出口调用acl(注意数据包走向进行选择出入)
[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
或者
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
取消调用
undo traffic-filter inbound
测试
pc2测试
实验二
需求1:在R2上配置acl拒绝访问client1 和pc2 ping协议,但是允许http访问server
配置如下
[R2]acl 3000
[R2-acl-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
[R2-acl-adv-3000]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
测试如下
需求二:拒绝源地址192.168.10.2 telnet 访问 12.1.1.2 acl 3005
[R2]acl 3005
[R2-acl-adv-3005]rule deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq 23
[R2-acl-adv-3005]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3005
需求三:允许源地址1.1.1.1访问2.2.2.2 其他剩下报文全部拒绝
[R2]acl 3008
[R2-acl-adv-3008]rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0
[R2-acl-adv-3008]rule 10 deny ip
需求四:拒绝任何人上QQ 传输层udp 8000
[R2-acl-adv-3100]rule deny udp destination-port eq 8000
需求五:只允许192.168.1.5 远程telnet R2
[R2]ACL number 2008
[R2-acl-basic-2008]rule 5 permit source 192.168.1.5 0
[R2-acl-basic-2008]rule 10 deny
[R2-acl-basic-2008]quit
[R2]user-interface vty 0 4
[R2-ui-vty0-4]acl 2008 inbound
验证:
关闭g0/0/0j接口telnet
[R1-GigabitEthernet0/0/0]shutdown
<R1>telnet 192.168.1.6
Press CTRL_] to quit telnet mode
Trying 192.168.1.6 ...
Error: Can't connect to the remote host
版权声明:本文为qq_44701266原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。