CISCO交换机ACL配置方法

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CISCO交换机ACL配置方法相关的知识,希望对你有一定的参考价值。

参考技术A router#conf
t
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
any
router(config-acl)#ip
access-list
extend
V3
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
host
192.167.0.2
192.168.1.0
0.0.0.255
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
router(config-acl)#interface
vlan1
router(config-inf)#ip
access-group
V1
in
router(config-inf)#interface
vlan3
router(config-inf)#ip
access-group
V3
in
以上配置效果:VLAN1只能访问192.167.0.2和.3这两个地址,其他地址均无法访问;VLAN3能访问除192.168.1.0/24这个网段外所有地址(0.2和0.3两个地址可以访问192.168.1.0/24这个网段)。
如果要使VLAN1能够访问其他地址V1就这样定义:
router(config)#ip
access-list
extend
V1
router(config-acl)#permit
ip
any
host
192.167.0.2
router(config-acl)#permit
ip
any
host
192.167.0.3
router(config-acl)#deny
ip
any
192.168.1.0
0.0.0.255
router(config-acl)#permit
ip
any
any
参考技术B CISCO交换机ACL配置方法如下:
标准访问列表配置实例:
R1(config)#access-list
10
deny
192.168.2.0
0.0.0.255
R1(config)#access-list
10
permit
any
R1(config)#int
fa0/0.1
R1(config-subif)#ip
access-group
10
out
标准访问列表
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。
它的具体格式:
access-list
access-list-number
[permit
|
deny
]
[sourceaddress][wildcard-mask]
access-list-number
为1-99
或者
1300-1999之间的数字,这个是访问列表号。
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。

思科 Cisco Packet Tracer 标准ACL的配置

ACL基本配置

访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制进出的数据包。

2811路由器的fa接口只有两个,可以选择插入模块以增加接口或者换路由器,也可以使用其他连接方式与RTB连接。这里永强君采用添加模块的方式来演示。

PC1:

IP地址 192.168.1.2

子网掩码 255.255.255.0

网关地址 192.168.1.1

PC2:

IP地址 192.168.2.2

子网掩码 255.255.255.0

网关地址 192.168.2.1

PC3:

IP地址 192.168.4.2

子网掩码 255.255.255.0

网关地址 192.168.4.1

第一步 配置端口

RTA

  Router>
  Router>enable//进入特权模式
  Router#conf t//进入全局配置模式
  Router(config)#hostname RTA//配置路由器的主机名为RTA
  RTA(config)#interface fa 0/0                   //进入fa 0/0接口
  RTA(config-if)#no shutdown                   //开启接口
  RTA(config-if)#ip address 192.168.1.1 255.255.255.0//配置接口IP
  RTA(config-if)#exit
  RTA(config)#interface fa 0/1                   //进入fa 0/1接口
  RTA(config-if)#no shutdown                   //开启接口
  RTA(config-if)#ip address 192.168.2.1 255.255.255.0//配置接口IP
  RTA(config-if)#exit
  RTA(config)#interface fa 1/0                  //进入fa 1/0接口
  RTA(config-if)#no shutdown                   //开启接口
  RTA(config-if)#ip address 192.168.3.1 255.255.255.0//配置接口IP

RTB

  Router>
  Router>enable//进入特权模式
  Router#conf t//进入全局配置模式
  Router(config)#hostname RTB//配置路由器的主机名为RTB
  RTB(config)#interface fa 0/0                   //进入fa 0/0接口
  RTB(config-if)#no shutdown                   //开启接口
  RTB(config-if)#ip address 192.168.4.1 255.255.255.0//配置接口IP
  RTB(config-if)#exit
  RTB(config)#interface fa 0/1                   //进入fa 0/1接口
  RTB(config-if)#no shutdown                   //开启接口
  RTB(config-if)#ip address 192.168.3.2 255.255.255.0//配置接口IP

第二步配置路由协议(这里永强君用静态路由做示范)

RTA

RTA(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2

 RTB

RTB(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
RTB(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1

 第三步设置ACL

RTA(config)#ip access-list standard 1
RTA(config-std-nacl)#permit 192.168.1.0 0.0.0.255
RTA(config-std-nacl)#deny 192.168.2.0 0.0.0.255
RTA(config-std-nacl)#exit
RTA(config)#int fa 1/0
RTA(config-if)#ip access-group 1 out

好了,配置到这里就完成了,除PC2 ping PC3不通,其余全网互通。命令行是永强君反复实验和检查过的,如果出错就照着永强君的命令行认真检查或是私信永强君。感谢大家对永强君的支持。

以上是关于CISCO交换机ACL配置方法的主要内容,如果未能解决你的问题,请参考以下文章

1CISCO交换机QOS限速配置

Cisco实验

思科 Cisco Packet Tracer 标准ACL的配置

cisco交换机生成树协议具体怎么配置?

通过思科模拟器CISCO PACKET TRACER学习网络10——标准访问控制协议

Cisco交换机VLAN与TRUNK链路配置命令