访问控制列表acl的配置

实验基本网络配置如上图:

Router0中配置:

Router0(config)#access-list 1 deny 172.16.14.10
Router0(config)#access-list 1 permit any	//不加这句默认是deny any
Router0(config)#interface f0/1
Router0(config-if)#ip access-group 1 in		//进入该端口的包采用acces-list1过滤

此时PC0 ping 172.16.14.10 ping 不通,提示超时

PC1ping 192.168.1.10 ping不同 提示目标主机不可达

PC1和PC2可以互相ping通

标准访问控制列表命令格式:

Access-list<标识号码或名字> <deny│permit> <源地址> <通配符>

标识号码范围为1-99

通配符表示为4个点分十进制数，路由器只检查通配符（以二进制表示）中“0”对应的地址位

扩展访问控制列表命令格式:

Access-list<标识号码或名字> <deny│permit> <协议标识> <源地址> <通配符><源端口> <目的地址> <通配符> <目的端口>

标识号码范围为100-199

协议标识如tcp、udp、icmp等

通配符表示为4个点分十进制数，路由器只检查通配符中表示为二进制后“0”对应的地址位

Router0中配置:

Router0(config)#access-list 101 deny tcp 172.16.14.10 0.0.0.0 172.16.14.254 0.0.0.0 eq 23
Router0(config)#access-list 101 permit tcp any any
Router0(config)#interface f0/1
Router0(config-if)#ip access-group 101 in

这时候PC1或PC2 ping PC0 都ping不同,因为路由没允许icmp包通过,值允许了传输层使用tcp协议的包

加上

Router0(config)#access-list 101 permit icmp any any

就可以ping通了
此时PC1 telnet 172.16.14.254 会失败,但是telnet 192.168.1.254 依旧成功