《2022年标准访问控制列表配置实例 .pdf》由会员分享,可在线阅读,更多相关《2022年标准访问控制列表配置实例 .pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、标准访问控制列表配置实例1. 配置路由器到网络各点可通网络如图,动态路由已设好,IP 地址分配如下:RouterA f0/0: 10.65.1.2 RouterA f0/1: 10.66.1.2 RouterA s0/1: 10.68.1.2 RouterC s0/0: 10.68.1.1 RouterC s0/1: 10.78.1.2 RouterB s0/0: 10.78.1.1 RouterB s0/1: 10.69.1.2 RouterB f0/0: 10.70.1.2 SWA:10.65.1.8 gateway:10.65.1.2 PCA:10.65.1.1 gateway:10.6
2、5.1.2 PCB:10.66.1.1 gateway:10.66.1.2 PCC:10.69.1.1 gateway:10.69.1.2 PCD:10.70.1.1 gateway:10.70.1.2 PCE:10.65.1.3 gateway:10.65.1.2 PCF:10.65.2.1 gateway:10.65.1.2 2. 基本的访问控制列表:先从 PCA ping PCD: rootPCA root#ping 10.70.1.1 ( 通) 在 ROC 的 s0/0 写一个输入的访问控制列表:RouterC(config)#access-lilt 1 permit 10.65.1.
3、1 0.0.0.0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 3 页 - - - - - - - - - RouterC(config)#access-list 1 deny any RouterC(config)#int s0/0 RouterC(config-if)#ip access-group 1 in RouterC(config-if)#end RouterC#sh access-list 1 rootPCA root#ping 10.70.1.1 (通
4、) rootPCE root#ping 10.70.1.1 (不通 ) rootPCE root#ping 10.66.1.1 (通) rootPCB root#ping 10.70.1.1 (不通 ) rootPCD root#ping 10.66.1.1 (通) 第一个 ping, PCA 的 IP 地址是 10.65.1.1 在访问控制列表access-list 1 中是允许的,所以通。第二个 ping,PCE 虽然是 65 网段,但是access-list 1 对 10.65.1.1 是完全匹配,所以 10.65.1.3 的数据包不能通过。第三个 ping,PCE 到 PCB 不通过
5、RouterC 的 s0/0,所以能通。第四个 ping,PCB 的 IP 地址是 10.66.1.1,它是被禁止的,所以不通。第五个 ping,从 PCD 到 PCB 的数据包是从RouterC 的 s0/0 口出,不受access-list 1 的控制,所以通。下面再写一个访问控制列表,先删除原访问控制列表:RouterC(config)#no access-lilt 1 RouterC(config-if)#no ip access-group 1 in 二者都可能实现去掉访问列表的目的。前者是从列表号角度删除,后者是从接口的输入和输出角度删除。可以通过 sh access-list 命
6、令查看访问控制列表。下面再写一个访问控制列表:RouterC(config)#access-lilt 2 deny 10.65.1.1 0.0.0.255 RouterC(config)#access-list 2 permit any RouterC(config)#int s0/0 RouterC(config-if)#ip access-group 1 out RouterC(config-if)#end RouterC#sh access-list 1 这个访问控制列表比上一个访问控制列表有以下几点不同:(1) 先 deny 后 permit,(2) 禁止的是一个C 类(3) 一个输出
7、的访问控制rootPCA root#ping 10.69.1.1 (不通 ) rootPCE root#ping 10.69.1.1 (不通 ) rootPCF root#ping 10.69.1.1 (通) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 3 页 - - - - - - - - - rootPCB root#ping 10.69.1.1 (通) 因为 PCA 和 PCE 的 IP 地址 10.65.1.1、10.65.1.3,在 deny 范围内,所以不
8、通。而 PCF 的 IP 是 10.65.2.1 不在 10.65.1.0 0.0.0.255 范围内,所以能通。3.梯形基本访问控制列表访问控制列表一般是顺序匹配的,梯形结构,下面是一个参考:RouterC(config)#access-list 4 permit 10.65.1.1 RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255 RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255 RouterC(config)#access-list 4 deny 10.0.0.
9、0 0.255.255.255 RouterC(config)#access-list 4 permit any RouterC(config)#int s0/1 RouterC(config-if)#ip access-group 4 out rootPCA root#ping 10.69.1.1 (通) rootPCE root#ping 10.69.1.1 (不通 ) rootPCF root#ping 10.69.1.1 (通) rootPCB root#ping 10.69.1.1 (不通 ) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 3 页 - - - - - - - - -