CISCO交换机ACL配置方法
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CISCO交换机ACL配置方法相关的知识,希望对你有一定的参考价值。
参考技术A router#conft
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果:VLAN1只能访问192.167.0.2和.3这两个地址,其他地址均无法访问;VLAN3能访问除192.168.1.0/24这个网段外所有地址(0.2和0.3两个地址可以访问192.168.1.0/24这个网段)。
如果要使VLAN1能够访问其他地址V1就这样定义:
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any 参考技术B CISCO交换机ACL配置方法如下:
标准访问列表配置实例:
R1(config)#access-list
10
deny
192.168.2.0
0.0.0.255
R1(config)#access-list
10
permit
any
R1(config)#int
fa0/0.1
R1(config-subif)#ip
access-group
10
out
标准访问列表
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。
它的具体格式:
access-list
access-list-number
[permit
|
deny
]
[sourceaddress][wildcard-mask]
access-list-number
为1-99
或者
1300-1999之间的数字,这个是访问列表号。
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
思科 Cisco Packet Tracer 标准ACL的配置
ACL基本配置
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制进出的数据包。
2811路由器的fa接口只有两个,可以选择插入模块以增加接口或者换路由器,也可以使用其他连接方式与RTB连接。这里永强君采用添加模块的方式来演示。
PC1:
IP地址 192.168.1.2
子网掩码 255.255.255.0
网关地址 192.168.1.1
PC2:
IP地址 192.168.2.2
子网掩码 255.255.255.0
网关地址 192.168.2.1
PC3:
IP地址 192.168.4.2
子网掩码 255.255.255.0
网关地址 192.168.4.1
第一步 配置端口
RTA
Router>
Router>enable//进入特权模式
Router#conf t//进入全局配置模式
Router(config)#hostname RTA//配置路由器的主机名为RTA
RTA(config)#interface fa 0/0 //进入fa 0/0接口
RTA(config-if)#no shutdown //开启接口
RTA(config-if)#ip address 192.168.1.1 255.255.255.0//配置接口IP
RTA(config-if)#exit
RTA(config)#interface fa 0/1 //进入fa 0/1接口
RTA(config-if)#no shutdown //开启接口
RTA(config-if)#ip address 192.168.2.1 255.255.255.0//配置接口IP
RTA(config-if)#exit
RTA(config)#interface fa 1/0 //进入fa 1/0接口
RTA(config-if)#no shutdown //开启接口
RTA(config-if)#ip address 192.168.3.1 255.255.255.0//配置接口IP
RTB
Router>
Router>enable//进入特权模式
Router#conf t//进入全局配置模式
Router(config)#hostname RTB//配置路由器的主机名为RTB
RTB(config)#interface fa 0/0 //进入fa 0/0接口
RTB(config-if)#no shutdown //开启接口
RTB(config-if)#ip address 192.168.4.1 255.255.255.0//配置接口IP
RTB(config-if)#exit
RTB(config)#interface fa 0/1 //进入fa 0/1接口
RTB(config-if)#no shutdown //开启接口
RTB(config-if)#ip address 192.168.3.2 255.255.255.0//配置接口IP
第二步配置路由协议(这里永强君用静态路由做示范)
RTA
RTA(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2
RTB
RTB(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
RTB(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1
第三步设置ACL
RTA(config)#ip access-list standard 1
RTA(config-std-nacl)#permit 192.168.1.0 0.0.0.255
RTA(config-std-nacl)#deny 192.168.2.0 0.0.0.255
RTA(config-std-nacl)#exit
RTA(config)#int fa 1/0
RTA(config-if)#ip access-group 1 out
好了,配置到这里就完成了,除PC2 ping PC3不通,其余全网互通。命令行是永强君反复实验和检查过的,如果出错就照着永强君的命令行认真检查或是私信永强君。感谢大家对永强君的支持。
以上是关于CISCO交换机ACL配置方法的主要内容,如果未能解决你的问题,请参考以下文章
思科 Cisco Packet Tracer 标准ACL的配置