1.标准编号访问控制列表
在路由器R3配置上配置标准编号ACL:
R3(config)#access-list 10 permit 10.1.1.0 0.0.0.255
R3(config)#access-list 10 permit 10.2.1.0 0.0.0.255
R3(config)#access-list 10 deny any
R3(config)#interface GigabitEthernet0/1
R3(config-if)#ip access-group 10 out
2.扩展编号访问控制列表
在路由器R1上配置扩展编号ACL
R1(config)#access-list 110 deny icmp 10.1.1.0 0.0.0.255 10.3.2.3 0.0.0.0 阻止10.1.1.0访问10.3.2.3,icmp流量就是ping和响应,拒绝10.1.1.0的流量访问10.3.2.3
R1(config)#access-list 110 permit ip any any 允许其他所有网段通过
R1(config)#interface GigabitEthernet0/0
R1(config-if)#ip access-group 110 in 该命令表示将ACL 110应用于接口G0/0的入站流量。
该ACL将过滤入站流量并仅允许符合其规则的流量进入该接口。
3.扩展命名访问控制列表
R4(config)#ip ac extended 123
创建一个名为123的扩展命名访问列表。
R4(config-ext-nacl)#deny tcp 10.1.1.0 0.0.0.255 10.3.2.3 0.0.0.0 eq www
阻止10.1.1.0/24网络中的任何IP地址连接到10.3.2.3端口号为80(HTTP)或443(HTTPS)的TCP端口
R4(config-ext-nacl)#permit ip any any
许所有类型的IP流量进入该接口
。其中,第一个规则允许所有来源IP地址、目标IP地址和协议类型的流量进入接口;
第二个规则允许任何本地网络流量进入接口;第三个规则允许任何IP流量进入接口。4.采用ACL限制VTY访问
只允许LAN1 和 LAN3的主机Telnet R4
R4(config)#line v 0 4
R4(config-line)#pas
R4(config-line)#password 123
R4(config-line)#login
R4(config-line)#^Z
R4(config)#access-list 1 permit 10.1.1.0 0.0.0.255 LAN1地址
R4(config)#access-list 1 permit 10.1.2.0 0.0.0.255 LAN3地址
R4(config)#access-list 1 deny any 拒绝该acl其他IP访问
R4(config)#line v 0 4
R4(config-line)#access-class 1 in 应用到line0-4口中
5.将ACL应用于QoS(服务质量)
配置步骤:
在路由器R1上配置QoS:
R1(config)#access-list 110 permit ip 10.1.1.0 0.0.0.255 any
//创建一个名为110的访问控制列表,应用于任何端口
R1(config)#class-map match-any 110 //创建满足任意条件的类映射表
R1(config-cmap)#class-map match-any class-1
R1(config-cmap)# match access-group 110 //匹配ACL
R1(config-cmap)#policy-map policy-1 //创建规则映射表
R1(config-pmap)# class class-1 //引用类映射表
R1(config-pmap-c)#priority percent 75 //指定带宽为接口带宽的75%
R1(config-pmap-c)#interface Gig0/0/0
R1(config-if)# service-policy output policy-1 //应用到接口
不过因为思科模拟器版本问题,这些命令只能用个别的,剩下需要搭建其他环境才能用
R1(config)#access-list 110 permit ip 10.1.1.0 0.0.0.255 any
//创建一个名为110的访问控制列表,应用于任何端口
R1(config)#class-map match-any 110 //创建满足任意条件的类映射表
R1(config-cmap)# match access-group 110 //匹配ACL