問題
使用基本編號的acl沒有實際意義,只有通過閱讀具體的條目才能得知該acl的作用。而且acl的編號有限制,如傳統的標準acl用199表示,擴充套件acl用100199表示。
1)配置擴充套件命名acl實現拒絕pc2(ip位址為192.168.0.20)訪問web server web服務,但可訪問其他服務。
方案命名訪問控制列表可以為acl起乙個有意義的名字,通過名稱就可以得知該acl要實現什麼功能。同時,因為使用的是名稱而不是數字,也就沒有了acl數量上的限制。
網路拓撲如圖所示:
步驟實現此案例需要按照如下步驟進行。
步驟一:將3配置標準命名acl中的標準命名訪問控制列表移除,其他配置保留
tarena-r2(config)#inte***ce f0/1
tarena-r2(config-if)#no ip access-group denypc2 out
tarena-r2(config-if)#exit
tarena-r2(config)# no ip access-list standard denypc2
步驟二:在r2上配置擴充套件命名訪問控制列表
命名訪問控制列表的配置總體上和用數字表示的acl一樣,但是更加靈活。
tarena-r2(config)#ip access-list extended denypc2
tarena-r2(config-ext-nacl)#deny tcp host 192.168.0.20 host 192.168.2.100 eq www
tarena-r2(config-ext-nacl)#permit ip any any
tarena-r2(config)#inte***ce fastethernet 0/1
tarena-r2(config-if)#ip access-group denypc2 out
tarena-r2#show access-listsextended ip access list denypc210 deny tcp host 192.168.0.20 host 192.168.2.100 eq www
20 permit ip any any
步驟四:在pc1上驗證
從輸入結果可以驗證,pc1到web server的訪問沒有受到任何影響。
步驟五:在pc2上進行驗證
因為只限制了到web server的http訪問,所以web服務已經無法訪問,但是仍然可以ping通。
思科高階配置 配置擴充套件ACL
問題 在網路中很有可能要允許或拒絕的並不是某乙個源ip位址,而是根據目標位址或是協議來匹配。但是標準訪問控制列表只能根據源ip位址來決定是否允許乙個資料報通過。1 配置擴充套件acl實現拒絕pc2 ip位址為192.168.0.20 訪問web server的web服務,但可訪問其他服務。方案為了實...
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...