标准访问控制列表配置实验

标准访问控制列表配置实验

一、实验要求

两台交换机，四台PC

二、关键点

1. 标准访问控制列表要应用在靠近目标端

原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器发起的数据包不过滤。

2. 扩展访问控制列表要应用在靠近源端
3. 访问控制列表只对穿越路由器的流量起作用
4. 创建访问控制列表语句的前后顺序不能颠倒
5. 访问控制列表的最后一句隐含的是拒绝所有
6. 删除访问控制列表时一次性删除整个列表
7. 一个访问控制列表可用于不同的端口

三、实验截图

交换机，主机配置也如图：

访问控制列表：
1）配置访问控制列表策略（permit，deny）
2）应用在某个接口
3）接口的某个方向上（in，out）

拓扑如图，四台主机能互相通信

1、标准ACL

一、使pc1和pc4不能通信

# 测试out

Switch(config)#ip access-list standard 88
Switch(config-std-nacl)#deny host 192.168.20.2 
Switch(config-std-nacl)#permit any 
Switch(config-if)#ip access-group 88 out   

查看路由表：
access-list 88 deny host 192.168.20.2
access-list 88 permit any

配置完测试，pc1和pc4不能通信

# 测试in
Switch(config-if)#ip access-group 88 in

pc1和pc4能通信

二、使pc0和pc3不能通信

Switch(config)#ip access-list standard 66
Switch(config-std-nacl)#deny host 192.168.10.0 0.0.0.255
Switch(config-std-nacl)#permit any 
Switch(config-if)#ip access-group 66 out  

# 查看路由表
access-list 66 deny 192.168.10.0 0.0.0.255
access-list 66 permit any

配置完测试，pc0和pc3不能通信