CISCO交换机ACL配置方法

Posted 2023-05-07

参考技术A router#conf
t
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果：VLAN1只能访问192.167.0.2和.3这两个地址，其他地址均无法访问；VLAN3能访问除192.168.1.0/24这个网段外所有地址（0.2和0.3两个地址可以访问192.168.1.0/24这个网段）。
如果要使VLAN1能够访问其他地址V1就这样定义：
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any 参考技术B CISCO交换机ACL配置方法如下：
标准访问列表配置实例：
R1(config)#access-list
10
deny
192.168.2.0
0.0.0.255
R1(config)#access-list
10
permit
any
R1(config)#int
fa0/0.1
R1(config-subif)#ip
access-group
10
out
标准访问列表
访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。
它的具体格式：
access-list
access-list-number
[permit
|
deny
]
[sourceaddress][wildcard-mask]
access-list-number
为1-99
或者
1300-1999之间的数字，这个是访问列表号。
访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

思科 Cisco Packet Tracer 标准ACL的配置

ACL基本配置

访问控制列表（Access Control List,ACL）是路由器和交换机接口的指令列表，用来控制进出的数据包。

2811路由器的fa接口只有两个，可以选择插入模块以增加接口或者换路由器，也可以使用其他连接方式与RTB连接。这里永强君采用添加模块的方式来演示。

PC1:

IP地址 192.168.1.2

子网掩码 255.255.255.0

网关地址 192.168.1.1

PC2:

IP地址 192.168.2.2

子网掩码 255.255.255.0

网关地址 192.168.2.1

PC3:

IP地址 192.168.4.2

子网掩码 255.255.255.0

网关地址 192.168.4.1

第一步 配置端口

RTA

  Router>
  Router>enable//进入特权模式
  Router#conf t//进入全局配置模式
  Router(config)#hostname RTA//配置路由器的主机名为RTA
  RTA(config)#interface fa 0/0                   //进入fa 0/0接口
  RTA(config-if)#no shutdown                   //开启接口
  RTA(config-if)#ip address 192.168.1.1 255.255.255.0//配置接口IP
  RTA(config-if)#exit
  RTA(config)#interface fa 0/1                   //进入fa 0/1接口
  RTA(config-if)#no shutdown                   //开启接口
  RTA(config-if)#ip address 192.168.2.1 255.255.255.0//配置接口IP
  RTA(config-if)#exit
  RTA(config)#interface fa 1/0                  //进入fa 1/0接口
  RTA(config-if)#no shutdown                   //开启接口
  RTA(config-if)#ip address 192.168.3.1 255.255.255.0//配置接口IP

RTB

  Router>
  Router>enable//进入特权模式
  Router#conf t//进入全局配置模式
  Router(config)#hostname RTB//配置路由器的主机名为RTB
  RTB(config)#interface fa 0/0                   //进入fa 0/0接口
  RTB(config-if)#no shutdown                   //开启接口
  RTB(config-if)#ip address 192.168.4.1 255.255.255.0//配置接口IP
  RTB(config-if)#exit
  RTB(config)#interface fa 0/1                   //进入fa 0/1接口
  RTB(config-if)#no shutdown                   //开启接口
  RTB(config-if)#ip address 192.168.3.2 255.255.255.0//配置接口IP

第二步配置路由协议（这里永强君用静态路由做示范）

RTA

RTA(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2

 RTB

RTB(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
RTB(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1

 第三步设置ACL

RTA(config)#ip access-list standard 1
RTA(config-std-nacl)#permit 192.168.1.0 0.0.0.255
RTA(config-std-nacl)#deny 192.168.2.0 0.0.0.255
RTA(config-std-nacl)#exit
RTA(config)#int fa 1/0
RTA(config-if)#ip access-group 1 out

好了，配置到这里就完成了，除PC2 ping PC3不通，其余全网互通。命令行是永强君反复实验和检查过的，如果出错就照着永强君的命令行认真检查或是私信永强君。感谢大家对永强君的支持。