命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略
实验环境
一台二层交换机
一台三层交换机
四台pc机
实验需求
允许vlan10中pc2可以访问pc1
拒绝vlan10中其他访问pc1
允许其他网段中的主机访问pc1
实验拓扑图
1,配置sw二层交换机
sw#conf t ##全局模式
sw(config)#vlan 10,20 ##创建vlan10,20
sw(config-vlan)#ex
sw(config)#do show vlan-sw b ##查看vlan
sw(config)#int range fa1/1 -2 ##进入接口f1/1和f1/2
sw(config-if-range)#sw mo acc ##创建接入链路
sw(config-if-range)#sw acc vlan 10 ##将接口放到vlan10中
sw(config-if-range)#ex
sw(config)#int f1/3 ##进入f1/3接口,创建接入链路放到vlan20中
sw(config-if)#sw mo acc
sw(config-if)#sw acc vlan 20
sw(config-if)#int f1/0 ##进入f1/0中创建trunk链路
sw(config-if)#sw mo t
sw(config-if)#sw t encapsulation dot1q
sw(config-if)#ex
sw(config)#no ip routing ##关闭路由功能
2,配置sw-3三层交换机
sw3#conf t ##进入全局模式
sw3(config)#int f1/1 进入f1/1接口
sw3(config-if)#no switchport ##关闭二层接口
sw3(config-if)#ip add 192.168.100.1 255.255.255.0 ##配置接口网关地址
sw3(config-if)#no shut 开启
sw3(config-if)#ex
sw3(config)#vlan 10,20 ##创建vlan10,20
sw3(config-vlan)#ex
sw3(config)#int vlan 10 ##进入vlan10配置网关地址
sw3(config-if)#ip add 192.168.10.1 255.255.255.0
sw3(config-if)#no shut
sw3(config-if)#ex
sw3(config)#int vlan 20 ##进入vlan20配置网关地址
sw3(config-if)#ip add 192.168.20.1 255.255.255.0
sw3(config-if)#no shut
sw3(config-if)#ex
sw3(config)#do show ip int b ##查看接口ip
Vlan10 192.168.10.1 YES manual up down
Vlan20 192.168.20.1 YES manual up down
sw3(config)#int f1/0 ##进入f1/0接口创建trunk链路
sw3(config-if)#sw mo t
sw3(config-if)#sw t encapsulation dot1q
sw3(config-if)#ex
sw3(config)#do show ip route ##查看路由表
C 192.168.10.0/24 is directly connected, Vlan10
C 192.168.20.0/24 is directly connected, Vlan20
C 192.168.100.0/24 is directly connected, FastEthe
3,配置pc机ip地址,测试全网互通性
pc机1:192.168.100.100
pc机2:192.168.10.10
pc机3:192.168.10.20
pc机4:192.168.20.20
测试是否全网互通
4,配置ACL命名访问控制列表
sw3(config)#ip access-list standard test
##设定模式及命名名称,standard为标准,extended为扩展
sw3(config-std-nacl)#permit host 192.168.10.10 ##允许访问主机ip
sw3(config-std-nacl)#deny 192.168.10.0 0.0.0.255 ##拒绝其他10段访问
sw3(config-std-nacl)#permit any ##允许其他所有主机访问
sw3(config-std-nacl)#ex
sw3(config)#do show access-list ##查看访问控制列表
Standard IP access list test
10 permit 192.168.10.10
20 deny 192.168.10.0, wildcard bits 0.0.0.255
30 permit any
sw3(config)#int f1/1 ##进入f1/1,将ACL应用于接口于出口方向
sw3(config-if)#ip access-group test out
5,测试ACL访问控制结果
1,vlan10中的主机2能够与主机1相通
2,vlan10中的主机3不能与主机3相通
3,其他网段的主机4可以与主机1相通
谢谢阅读!!!
原文地址:https://blog.51cto.com/14080162/2443216
时间: 2024-11-10 08:47:45