ACL 액세스 제어 목록 - 액세스 제어 목록 이름 (실제 작동!)

명명 된 액세스 제어 목록 유연하게 전략을 조정할 수 있습니다, 전제는 더 + 번호가 ACL 정책을 삭제할 수 없습니다,에 기초하여 표준 액세스 목록 및 확장 액세스 목록입니다. 당신은 또한 ACL 번호 + 허가증 + IP를 추가 ACL 정책을 사용할 수 있습니다

실험 환경

一台二层交换机
一台三层交换机
四台pc机

실험 수요

允许vlan10中pc2可以访问pc1
拒绝vlan10中其他访问pc1
允许其他网段中的主机访问pc1

실험 토폴로지

1 구성 SW 스위처

sw#conf t     ##全局模式
sw(config)#vlan 10,20   ##创建vlan10，20
sw(config-vlan)#ex
sw(config)#do show vlan-sw b  ##查看vlan

sw(config)#int range fa1/1 -2     ##进入接口f1/1和f1/2
sw(config-if-range)#sw mo acc   ##创建接入链路
sw(config-if-range)#sw acc vlan 10  ##将接口放到vlan10中
sw(config-if-range)#ex

sw(config)#int f1/3    ##进入f1/3接口，创建接入链路放到vlan20中
sw(config-if)#sw mo acc
sw(config-if)#sw acc vlan 20

sw(config-if)#int f1/0  ##进入f1/0中创建trunk链路
sw(config-if)#sw mo t
sw(config-if)#sw t encapsulation dot1q
sw(config-if)#ex
sw(config)#no ip routing   ##关闭路由功能

2 배치 3 개 개의 스위치 SW-3

sw3#conf t       ##进入全局模式
sw3(config)#int f1/1   进入f1/1接口
sw3(config-if)#no switchport   ##关闭二层接口
sw3(config-if)#ip add 192.168.100.1 255.255.255.0   ##配置接口网关地址
sw3(config-if)#no shut   开启
sw3(config-if)#ex

sw3(config)#vlan 10,20  ##创建vlan10，20
sw3(config-vlan)#ex
sw3(config)#int vlan 10    ##进入vlan10配置网关地址
sw3(config-if)#ip add 192.168.10.1 255.255.255.0
sw3(config-if)#no shut
sw3(config-if)#ex
sw3(config)#int vlan 20   ##进入vlan20配置网关地址
sw3(config-if)#ip add 192.168.20.1 255.255.255.0
sw3(config-if)#no shut
sw3(config-if)#ex

sw3(config)#do show ip int b   ##查看接口ip

Vlan10                     192.168.10.1    YES manual up                    down    
Vlan20                     192.168.20.1    YES manual up                    down 

sw3(config)#int f1/0     ##进入f1/0接口创建trunk链路
sw3(config-if)#sw mo t
sw3(config-if)#sw t encapsulation dot1q
sw3(config-if)#ex

sw3(config)#do show ip route   ##查看路由表

C    192.168.10.0/24 is directly connected, Vlan10
C    192.168.20.0/24 is directly connected, Vlan20
C    192.168.100.0/24 is directly connected, FastEthe

3, 구성의 PC 컴퓨터의 IP 주소는 전체 네트워크의 상호 운용성을 테스트

pc机1：192.168.100.100
pc机2：192.168.10.10
pc机3：192.168.10.20
pc机4：192.168.20.20

测试是否全网互通

4, ACL라는 이름의 액세스 제어 목록을 구성

sw3(config)#ip access-list standard test  
##设定模式及命名名称，standard为标准，extended为扩展
sw3(config-std-nacl)#permit host 192.168.10.10   ##允许访问主机ip
sw3(config-std-nacl)#deny 192.168.10.0 0.0.0.255  ##拒绝其他10段访问
sw3(config-std-nacl)#permit any  ##允许其他所有主机访问
sw3(config-std-nacl)#ex

sw3(config)#do show access-list   ##查看访问控制列表
Standard IP access list test
        10 permit 192.168.10.10
        20 deny   192.168.10.0, wildcard bits 0.0.0.255
        30 permit any

sw3(config)#int f1/1  ##进入f1/1，将ACL应用于接口于出口方向
sw3(config-if)#ip access-group test out

(5) 시험 결과 ACL 액세스 제어

1，vlan10中的主机2能够与主机1相通

2，vlan10中的主机3不能与主机3相通

3，其他网段的主机4可以与主机1相通

읽어 주셔서 감사합니다! ! !