ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

實例一:標準訪問控制列表的配置

拓撲圖如下:

通過配置標準訪問列表,禁止PC1主機訪問PC3主機。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(1)進行sw的配置如下:

SW#configure terminal    //進入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
SW(config)#no ip routing    //關閉路由功能
SW(config)#int f1/0   //進入接口模式
SW(config-if)#speed 100   //設置速率爲100M
SW(config-if)#duplex full   //設置全雙工
SW(config-if)#exit   //退出
SW(config)#
*Mar  1 00:12:46.291: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
SW(config)#

(2)進行R1的配置如下:

R1#conf t   //進入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0   //進入接口模式
R1(config-if)#ip add 192.168.10.1 255.255.255.0   //配置IP地址與子網掩碼
R1(config-if)#no shut   //開啓接口
*Mar  1 00:12:48.579: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:12:49.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#int f0/1   //進入接口模式
R1(config-if)#ip add 192.168.20.1 255.255.255.0   //配置IP地址與子網掩碼
R1(config-if)#no shut   //開啓接口
R1(config-if)#
*Mar  1 00:13:15.063: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:13:16.063: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R1(config-if)#exit    //退出

(3)分別給PC1、PC2、PC3配置IP地址

PC1> 
PC1> ip 192.168.10.2 192.168.10.1   //配置IP和網關
Checking for duplicate address...
PC1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1

PC1> 
PC2> 
PC2> ip 192.168.10.3 192.168.10.1   //配置IP和網關
Checking for duplicate address...
PC1 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1

PC2>

PC3> 
PC3> ip 192.168.20.2 192.168.20.1   //配置IP和網關
Checking for duplicate address...
PC1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1

PC3> 

(4)分別用PC1、PC2去pingPC3,都能互通。

PC1> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=12.961 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.258 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=12.084 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=18.257 ms

PC1> 
PC2> ping 192.168.20.2
84 bytes from 192.168.20.2 icmp_seq=1 ttl=63 time=19.947 ms
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=11.270 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=14.618 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=20.939 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=12.970 ms

PC2> 

(5)在R1上配置標準訪問控制列表,拒絕PC1訪問PC3

R1(config)#access-list 1 deny host 192.168.10.2   //配置標準訪問控制列表拒絕PC1的IP地址
R1(config)#access-list 1 permit any   //允許所有IP訪問
R1(config)#do show access-list   //查看訪問控制列表信息
Standard IP access list 1
    10 deny   192.168.10.2
    20 permit any
R1(config)#int f0/0   //進入接口模式
R1(config-if)#ip access-group 1 in   //將ACL應用到接口(入口)
R1(config-if)#exit   //退出
R1(config)#

(6)再次分別用PC1、PC2去pingPC3,由於設置了訪問控制列表,PC1已經不能與PC3互通。

PC1> ping 192.168.20.2
*192.168.10.1 icmp_seq=1 ttl=255 time=9.120 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=5.016 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=11.325 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=2.000 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=5.111 ms (ICMP type:3, code:13, Communication administratively prohibited)

PC1> 
PC2> ping 192.168.20.2           
192.168.20.2 icmp_seq=1 timeout
192.168.20.2 icmp_seq=2 timeout
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=16.961 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=21.994 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=17.097 ms

PC2> 

實例二:拓展訪問控制列表的配置

拓撲圖如下:

通過拓展訪問控制列表,允許win10-1訪問Linux的web服務,禁止win10-1訪問Linux的其它服務,允許win10-1訪問192.168.2.0/24網段。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(1)進入Linux系統,安裝FTP與HTTP服務。

[root@localhost ~]#yum install vsftpd httpd -y

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(2)配置Linux系統的ens33網卡配置文件,設置靜態IP地址。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 
[root@localhost ~]# service network restart 
Restarting network (via systemctl):                        [  確定  ]
[root@localhost ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.100.100  netmask 255.255.255.0  broadcast 192.168.100.255
        inet6 fe80::3a2f:c8ce:9161:cf9d  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:09:24:8e  txqueuelen 1000  (Ethernet)
        RX packets 10882  bytes 12892735 (12.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1708  bytes 131835 (128.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

(3)在http的站點內添加一個網站文件,ftp服務站點添加一個文件,同時開啓兩個服務,關閉防火牆和增強性安全功能,掃描端口看服務是否開啓成功。

[root@localhost ~]# vim /var/www/html/index.html
[root@localhost ~]# cat /var/www/html/index.html
<h1> this is test web </h1>
[root@localhost ~]# 
[root@localhost ~]# echo "this is ftp" > /var/ftp/ftp_test.txt
[root@localhost ~]# ls /var/ftp/
ftp_test.txt  pub
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl start vsftpd
[root@localhost ~]# systemctl stop firewalld.service 
[root@localhost ~]# setenforce 0
[root@localhost ~]# 
[root@localhost ~]# netstat -ntap | egrep '(21|80)'
tcp6       0      0 :::80                   :::*                    LISTEN      51680/httpd         
tcp6       0      0 :::21                   :::*                    LISTEN      51844/vsftpd        

[root@localhost ~]#

(4)分別將Linux系統綁定VMnet2網卡,win10-1主機綁定VMnet1網卡,win10-2主機綁定VMnet3網卡。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(5)分別給win10-1主機與win10-2主機配置IP地址、子網掩碼、和網關。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(6)分別關閉win10-1主機與win10-2主機的防火牆。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(7)對R1進行基本配置。

R1#conf t   //切換全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0     //進入接口模式
R1(config-if)#ip add 192.168.1.1 255.255.255.0   //配置IP地址與子網掩碼
R1(config-if)#no shut   //開啓接口
R1(config-if)#
*Mar  1 00:17:49.615: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:17:50.615: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#int f0/1     //進入接口模式
R1(config-if)#ip add 192.168.100.1 255.255.255.0   //配置IP地址與子網掩碼
R1(config-if)#no shut   //開啓接口
R1(config-if)#
*Mar  1 00:18:27.591: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:18:28.591: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R1(config-if)#int f1/0     //進入接口模式
R1(config-if)#ip add 192.168.2.1 255.255.255.0   //配置IP地址與子網掩碼
R1(config-if)#no shut   //開啓接口
R1(config-if)#
*Mar  1 00:19:31.295: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
*Mar  1 00:19:32.295: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
R1(config-if)#exit
R1(config)#do show ip route   //查看路由表
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.1.0/24 is directly connected, FastEthernet0/0
C    192.168.2.0/24 is directly connected, FastEthernet1/0
C    192.168.100.0/24 is directly connected, FastEthernet0/1
R1(config)#

(8)此時用win10-1主機分別去ping另外兩臺主機的IP都能互通。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(9)用win10-1主機去訪問Linux系統的http服務於ftp服務都能成功。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(10)用win10-2主機去訪問Linux系統的http服務於ftp服務也都能成功。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(11)在R1上配置拓展訪問控制列表。

R1(config)#
R1(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.100.100 eq www     //允許win10-1訪問Linux系統的http服務
R1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.100.100   //拒絕win10-1訪問Linux系統的所有服務
R1(config)#access-list 100 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255   //允許win10-1主機訪問192.168.2.0網段所有服務
R1(config)#do show access-lists   //查看ACL控制列表
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
    20 deny ip host 192.168.1.2 host 192.168.100.100
    30 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
R1(config)#int f0/0   //進入接口模式
R1(config-if)#ip access-group 100 in   //將ACL應用到接口(入口)
R1(config-if)#exit   //退出
R1(config)#

(12)我們先清除win10-1主機瀏覽器的緩存,再用win10-1主機訪問Linux系統的http服務,可以訪問。但再去訪問ftp時,已經不能訪問了。因爲我們的ACL控制列表只允許訪問http服務。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(13)我們再用win10-1主機分別去ping另外兩臺主機,只能與win10-2主機互通,因爲ACL訪問控制列表允許win10-1主機訪問192.168.2.0網段的所有服務。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

實例三:命名訪問控制列表的配置

拓撲圖如下:

通過命名訪問控制列表,允許vlan10中的PC2主機可以訪問PC1主機,拒絕vlan10中其它主機訪問PC1主機,允許其它所有網段中主機訪問PC1主機。

ACL訪問控制列表(標準、拓展、命名控制列表)的配置實例

(1)進行sw的相關配置。

sw#conf t   //切換全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
sw(config)#no ip routing   //關閉路由功能
sw(config)#vlan 10,20   //創建vlan
sw(config-vlan)#exit   //退出
sw(config)#int range f1/1 -2   //進入接口f1/1、f1/2
sw(config-if-range)#sw mo acc   //接口模式設爲access模式
sw(config-if-range)#sw acc vlan 10   //將接口添加到vlan10
sw(config-if-range)#exit   //退出
sw(config)#int f1/3   //進入接口f1/3
sw(config-if)#sw mo acc   //接口模式設爲access模式
sw(config-if)#sw acc vlan 20   //將接口添加到vlan20
sw(config-if)#exit   //退出
sw(config)#do show vlan-sw b   //查看vlan表

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6
                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10
                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14
                                                Fa1/15
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    Fa1/3
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 
sw(config)#int f1/0   //進入接口f1/0
sw(config-if)#sw mo t   //設置接口模式爲trunk模式
*Mar  1 00:03:20.511: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
sw(config-if)#sw t en dot1   //設置數據封裝類型爲dot1q
sw(config-if)#exit   //退出

(2)進行sw-3的基礎配置。

sw-3#conf t   //進入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
sw-3(config)#int f1/1   //進入接口
sw-3(config-if)#no switchport    //接口轉爲二層接口
*Mar  1 00:05:39.675: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/1, changed state to up
sw-3(config-if)#ip add 192.168.100.1 255.255.255.0   //配置IP地址和子網掩碼
sw-3(config-if)#no shut   //開啓接口
sw-3(config-if)#exit   //退出
sw-3(config)#vlan 10,20   //創建vlan
sw-3(config-vlan)#exit   //退出
sw-3(config)#int vlan 10   //進入vlan10
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0   //配置IP地址和子網掩碼
sw-3(config-if)#no shut   //開啓vlan
sw-3(config-if)#exit   //退出
sw-3(config)#int vlan 20   //進入vlan20
sw-3(config-if)#ip add 192.168.20.1 255.255.255.0   //配置IP地址和子網掩碼
sw-3(config-if)#no shut   //開啓vlan
sw-3(config-if)#exit   //退出
sw-3(config)#int f1/0   //進入接口
sw-3(config-if)#sw mo t   //設置接口模式爲trunk模式
*Mar  1 00:08:40.075: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
*Mar  1 00:08:40.575: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar  1 00:08:40.583: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up
sw-3(config-if)#sw t en dot1   //設置數據封裝類型爲dot1q
sw-3(config-if)#exit   //退出
sw-3(config)#do show ip route   //查看路由表
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.10.0/24 is directly connected, Vlan10
C    192.168.20.0/24 is directly connected, Vlan20
C    192.168.100.0/24 is directly connected, FastEthernet1/1
sw-3(config)#

(3)分別給PC1、PC2、PC3、PC4主機配置IP地址。

PC1> 
PC1> ip 192.168.100.100 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.100 255.255.255.0 gateway 192.168.100.1

PC1> 
PC2> 
PC2> ip 192.168.10.10 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1

PC2> 
PC3> 
PC3> ip 192.168.10.20 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.20 255.255.255.0 gateway 192.168.10.1

PC3> 
PC4> 
PC4> ip 192.168.20.20 192.168.20.1
Checking for duplicate address...
PC1 : 192.168.20.20 255.255.255.0 gateway 192.168.20.1

PC4> 

(4)用PC2主機去ping其它所有主機,都能互通。

PC2> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=11.281 ms
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=15.939 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=13.957 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=14.960 ms

PC2> ping 192.168.10.20  
84 bytes from 192.168.10.20 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=2 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=3 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=4 ttl=64 time=0.642 ms
84 bytes from 192.168.10.20 icmp_seq=5 ttl=64 time=0.000 ms

PC2> ping 192.168.20.20
192.168.20.20 icmp_seq=1 timeout
84 bytes from 192.168.20.20 icmp_seq=2 ttl=63 time=17.046 ms
84 bytes from 192.168.20.20 icmp_seq=3 ttl=63 time=12.324 ms
84 bytes from 192.168.20.20 icmp_seq=4 ttl=63 time=17.953 ms
84 bytes from 192.168.20.20 icmp_seq=5 ttl=63 time=15.786 ms

PC2> 

(5)在sw-3上配置命名訪問控制列表。

sw-3(config)#
sw-3(config)#ip access-list standard test0   //添加命名訪問控制列表test0
sw-3(config-std-nacl)#permit host 192.168.10.10   //允許PC2主機IP通過
sw-3(config-std-nacl)#deny 192.168.10.0 0.0.0.255   //拒絕192.168.10.0網段所有IP通過
sw-3(config-std-nacl)#permit any   //允許所有
sw-3(config-std-nacl)#exit   //退出
sw-3(config)#do show access-lists   //查看ACL列表
Standard IP access list test0
    10 permit 192.168.10.10
    20 deny   192.168.10.0, wildcard bits 0.0.0.255
    30 permit any
sw-3(config)#int f1/1   //進入接口
sw-3(config-if)#ip access-group test0 out   //將ACL應用到接口(出口)
sw-3(config-if)#exit   //退出
sw-3(config)#

(6)用PC2、PC3、PC4主機分別去ping主機PC1的IP地址。PC3主機不能與PC1互通,因爲192.168.10.0網段只有PC2主機IP能通過sw-3.

PC2> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=20.944 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=19.954 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=11.286 ms

PC2> 
PC3> ping 192.168.100.100
*192.168.10.1 icmp_seq=1 ttl=255 time=9.073 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=9.978 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=11.641 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=1.995 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=1.713 ms (ICMP type:3, code:13, Communication administratively prohibited)

PC3> 
PC4> ping 192.168.100.100
84 bytes from 192.168.100.100 icmp_seq=1 ttl=63 time=20.944 ms
84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=17.947 ms
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=19.947 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=20.075 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=19.639 ms

PC4> 

(7)我們在test0命名訪問控制列表中,添加允許PC3的IP地址訪問PC的規則,再用PC3去ping主機PC1,結果可以互通。

sw-3(config)#
sw-3(config)#ip access-list standard test0    //進入ACL的子模式
sw-3(config-std-nacl)#12 permit host 192.168.10.20   //添加允許規則
sw-3(config-std-nacl)#exit   //退出
sw-3(config)#do show access-lists   //查看ACL列表
Standard IP access list test0
    10 permit 192.168.10.10 (5 matches)
    12 permit 192.168.10.20
    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)
    30 permit any (5 matches)
sw-3(config)#
PC3> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=17.954 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=15.538 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=15.956 ms

PC3> 

(8)將上一步添加的允許規則刪除,再用PC3去ping主機PC1,結果又不能互通。

sw-3(config)#
sw-3(config)#ip access-list standard test0   //進入ACL列表子模式
sw-3(config-std-nacl)#no 12   //刪除編號爲12的規則
sw-3(config-std-nacl)#exit   //退出
sw-3(config)#do show access-lists   //查看ACL列表
Standard IP access list test0
    10 permit 192.168.10.10 (5 matches)
    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)
    30 permit any (5 matches)
sw-3(config)#
PC3> ping 192.168.100.100
*192.168.10.1 icmp_seq=1 ttl=255 time=9.578 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=3.993 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=1.692 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=2.686 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=14.020 ms (ICMP type:3, code:13, Communication administratively prohibited)

PC3> 
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章