ACL技术 扩展ACL

实验目的：实现ACL的功能

实验原理：经过建立ACL中的条件，在调用ACL的时候，就能够经过ACL条件实现对数据的筛选。

实验步骤：

第一步：

配置PC机基本信息

192.168.1.1

255.255.255.0

没有网关，本实验不须要

192.168.1.2

255.255.255.0

给路由器配置网关

inter g0/0

no shutdown

ip add 192.168.1.254  255.255.255.0

第二步，show ip access-lists，验证查看ACL上的信息

第三步：建立ACL，

        access-list 1 deny 192.168.1.1  0.0.0.0

        access-list 1 permit any

第四步：     

         inter g0/0     

         ip access-group 1 in 

      

注意：因为access -list 1 deny （因为任何一个ACL后面）后面都隐含着deny any，因此会同时把192.168.1.2挡住，只要以下操做即可以解除：

        access-list 1 permit any 就能够了

若是要反过来，让1.1 能ping通，1.2ping不通，以下

       no  access-list 1 deny 192.168.1.1  0.0.0.0

 而后从新做就能够了

###########################################################

 工做中经常使用的ACL配置方式 - 命名的 ACL ：
建立ACL-
    GW(config)# ip access-list standard Deny-Ping
    GW(config-std-nacl)# 10 deny  192.168.1.2 0.0.0.0
    GW(config-std-nacl)# 20 permit any  
    GW(config-std-nacl)#exit
调用ACL-    
    GW(config)#interface g0/0
    GW(config-if)#ip access-group Deny-Ping in 

若是要换扩展ACL，no掉以上中的

    GW(config)#interface g0/0
    GW(config-if)#  no  ip access-group Deny-Ping in

    GW(config)#  no ip access-list standard Deny-Ping

###############################################################

为了匹配更加精确的流量，咱们使用“扩展ACL”： 建立ACL-     ip access-list extended notPing       10  deny icmp  host 192.168.1.2 host 192.168.1.254 主机192.1.2到网关1.254的icmp（ping包）走不通，      20  permit  ip any  any  其余的仍是能够的，好比TCP，调用ACL-     interface g0/0       ip access-group notPing in  验证——        ping      show  ip access-list       show  ip interface g0/0