大家好,欢迎来到IT知识分享网。
基本的配置不做阐述,这里使用rip来进行全网连通
R1
[R1]rip
[R1-rip-1]net 192.168.1.0 0.0.0.255
[R1-rip-1]net 192.168.2.0 0.0.0.255
[R1-rip-1]ver 2
[R1-rip-1]un su
R2
[R2-rip-1]net 192.168.2.0 0.0.0.255
[R2-rip-1]net 192.168.3.0 0.0.0.255
[R2-rip-1]ver 2
[R2-rip-1]un su
此时的PC之间可以ping通
一:基本ACL的使用
在R1上创建一个基本acl,拒绝PCA访问PCB
[R1]acl basic 2000—–注意,如果你看的是华三网络学院系列的教材,会发现它的acl关键字是number,在v7版本是行不通的,普通的变成basic,高级的为advanced
[R1-acl-ipv4-basic-2000]rule 1 deny source 192.168.1.0 0.0.0.255—定义规则1拒绝来自192.168.1.0 子网掩码为24位的流量
[R1-GigabitEthernet0/1]packet-filter 2000 outbound—-在出接口上应用此acl
再去PCA上pingPCB,会发现ping不通;但是在R1上依然可以ping PCB
二:高级ACL的使用
在R1配置高级ACL,使能R1不能通过FTP到R2上面
先在R2上开启ftp功能
[R2]local-user h3c—-ftp用户名为h3c
[R2-luser-manage-h3c]password simple 123–密码为123
[R2-luser-manage-h3c]service-type ftp—-用于ftp用户登录使用
[R2-luser-manage-h3c]authorization-attribute user-role network-admin—-设置为最高权限
在R1上可以使用ftp登录到R2上了
在R1上配置高级ACL
[R1]acl advanced 3000
[R1-acl-ipv4-adv-3000]rule 1 deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq ftp—-拒绝来自192.168.2.1的客户端ftp到192.168.2.2的ftp服务器上
[R1-GigabitEthernet0/1]packet-filter 3000 outbound—-在接口上应用
再R1上可以ping R2,但是使用ftp功能,系统会提示你无法执行
<R1>ftp 192.168.2.2
Press CTRL+C to abort.
ACL访问控制列表
1.基本访问控制列表(列表号2000-2999)
特点:只看源不看目的
针对所有流量统一控制
2.高级访问控制列表(列表号3000-3999)
特点:不仅看源还看目的
针对不同流量可以做不同行为控制
注意:删除ACL相关配置先删除acl undo acl basic 2000
在进到端口里面删除 undo packet-filter 2000 inbound
特别是高级ACL,可以针对多种协议进行流浪监管,可以自己通过敲?的形式查看有哪些协议。这里就不一一展示了。
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/14337.html