admin 管理员组

文章数量: 887021

思科

       这些全部是我自己总结和结论,感觉我提供的知识点不错的,可以给我点个关注!也可以进行私聊讨论。

这个ACL整理我不容易点个赞赞被嘻嘻!

1.创建标椎的ACL配置方法

命令:

access-list  access-list-number  {permit、deny}  source 【source-wildcard】

access-list-number:ACL表号,对于标准CAL来说,改表号是1-99中的一个数字。

permit、deny:如果满足测试条件,则允许、拒绝该同行流量

source-wildcard:通配符掩码,也称为反码。在用二进制数0和1表示是,如果某位为1表明这意味不需要进行匹配操作,如果为0,则表明这一位需要严格匹配

Ip  access-group   access-list-number    (in/out)

参数in、out用来指示ACL是应用到入站接口(in)还是出战接口(out)

每个方向上只能有一个ACL,也就是每个接口最多只能有两个ACL
:一个入放方向ACL,一个出方向ACL

如:access-list   1   deny    IP   host    192.168.2.2

         access-list   1    permit     any

         int     f0/0

         ip      access-group     1      in

2.创建扩展ACL配置方法

命令:

IP  access-list    {standard/extended}  access-list-number

Standard:标准模式

/extended:扩展模式

access-number:名称

如:

ip access-list extended jtt

Permit IP  any any

 int     f0/0

 ip      access-group     jtt      in

 

3.ACL实验一

R1只可以远程管理R3

命令:

access-list 120 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet

允许远程管理

access-list 120  deny   ip host 1.1.1.1 host 2.2.2.2

拒绝1.1.1.1的全部数据包到2.2.2.2

access-list 120 permit ip host 1.1.1.1 host 3.3.3.3

允许R1可以ping通R2

--

进入接口f0/1

ip access-group 120 in

应用接口

4.ACL实验二

R1只可以远程管理R3

命令:

access-list 120 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet

允许远程管理

access-list 120  deny   ip host 1.1.1.1 host 2.2.2.2

拒绝1.1.1.1的全部数据包到2.2.2.2

access-list 120 permit ip host 1.1.1.1 host 3.3.3.3

允许R1可以ping通R2

--

进入接口f0/1

ip access-group 120 in

应用接口

5.ACL实验三

ACL语句:

R1(config)#ip access-list extended sike

R1(config-ext-nacl)#permit tcp host 192.168.10.100 host 192.168.20.100 eq 21

R1(config-ext-nacl)#permit tcp host 192.168.10.100 host 192.168.20.100 eq 20

R1(config-ext-nacl)#exit

R1(config)#int f0/0

R1(config-if)#ip access-group sike out

验证:

 6.ACL实验4

ACL语句:

R1(config)#ip access-list extended sike

R1(config-ext-nacl)#permit tcp host 192.168.10.100 host 192.168.20.100 eq 21

R1(config-ext-nacl)#permit tcp host 192.168.10.100 host 192.168.20.100 eq 20

R1(config-ext-nacl)#exit

R1(config)#int f0/0

R1(config-if)#ip access-group sike out

验证:

 

本文标签: 思科

版权声明:本文标题:思科 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1686978378h52470.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。