基本ACL 和高级ACL配置
基本ACL
一、要求
1.全网可达
2.在1的基础上使PC1不能访问PC2
二、思路
1.通过写静态的方式使全网可达
2.配置acl主要是拒绝源IP的访问
3.在靠近目标的地方配置acl及使用
三、操作配置
1.IP及静态配置
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 123.0.0.1 24
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 123.0.1.1 24
[r1]ip route-static 123.0.2.0 24 123.0.0.2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 123.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 123.0.2.1 24
[r2]ip route-static 123.0.1.0 24 123.0.0.1
PC1:123.0.1.2/24网关123.0.1.1
PC2:123.0.2.2/24网关123.0.2.1
2.写acl
[r2]acl 2000
[r2-acl-basic-2000]rule 2 deny source 123.0.1.0 0.0.0.255
[r2-acl-basic-2000]q
3.在接口使用
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
四、结果
高级ACL配置
一、要求
1.全网可达
2.在1的基础上使R1、PC1不能ping通R4
3.在1的基础上使R1不能远程登陆R3
二、思路
1.通过写静态的方式使全网可达
2.配置acl主要是拒绝源IP到目标IP的访问及远程登陆
3.在靠近源的地方配置acl及使用
三、操作配置
1.IP及静态配置
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 12.0.0.1 24
[r1-GigabitEthernet0/0/0]q
[r1]ip route-static 23.0.0.0 24 12.0.0.2
[r1]ip route-static 24.0.0.0 24 12.0.0.2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip add 23.0.0.2 24
[r2-GigabitEthernet0/0/1]int g0/0/2
[r2-GigabitEthernet0/0/2]ip add 24.0.0.2 24
[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]ip add 23.0.0.1 24
[r3-GigabitEthernet0/0/0]q
[r3]ip route-static 12.0.0.0 24 23.0.0.2
[r3]ip route-static 24.0.0.0 24 23.0.0.2
[r4]int g0/0/0
[r4-GigabitEthernet0/0/0]ip add 24.0.0.1 24
[r4-GigabitEthernet0/0/0]q
[r4]ip route-static 12.0.0.0 24 24.0.0.2
[r4]ip route-static 23.0.0.0 24 24.0.0.2
2.写acl
[r2]acl 3000
[r2-acl-adv-3000]rule 1 deny tcp source 12.0.0.1 0 destination 23.0.0.1 0 destination-port eq 23
[r2-acl-adv-3000]rule 2 deny icmp source 12.0.0.1 0 destination 24.0.0.1 0
有颜色标记的地方是规则序号,规则序号不能一致不然只能生效最后的规则
查看一下acl
3.在接口启用acl
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
四、检验
