第六部分,訪問控制列表。訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。應用場景有校園網中教師網和學生網分別管理,通過acl控制內網與外網的訪問權限等。
網絡拓撲圖如下:
R1以下部分屬於教師網,可以訪問外網,R1以上部分爲學生網,通過acl列表控制,我們將實現192.168.50.0-192.168.50.127段主機無法訪問http服務器(192.168.10.1),主要代碼:
access-list 1 deny 192.168.50.0 0.0.0.127
代碼:
##基礎配置
#r0
en conf t int f0/0 ip add 192.168.10.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.20.1 255.255.255.0 no shut exit router ospf 1 network 192.168.10.0 0.0.0.255 area 1 network 192.168.20.0 0.0.0.255 area 1
#r1
en conf t int s0/0/1 ip add 192.168.30.1 255.255.255.0 no shut int s0/1/0 ip add 192.168.40.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.20.2 255.255.255.0 no shut exit router ospf 1 network 192.168.30.0 0.0.0.255 area 1 network 192.168.20.0 0.0.0.255 area 1 network 192.168.40.0 0.0.0.255 area 1
#r2
en conf t int f0/0 ip add 192.168.50.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.30.2 255.255.255.0 no shut exit router ospf 1 network 192.168.30.0 0.0.0.255 area 1 network 192.168.50.0 0.0.0.255 area 1
#r3
en conf t int f0/0 ip add 192.168.60.1 255.255.255.0 no shut int s0/0/0 ip add 192.168.40.2 255.255.255.0 no shut exit router ospf 1 network 192.168.40.0 0.0.0.255 area 1 network 192.168.60.0 0.0.0.255 area 1
##acl控制列表
#r0
exit access-list 1 deny 192.168.50.0 0.0.0.127 access-list 1 permit any int f0/0 ip access-group 1 out
結果檢測:
pc0(ip地址192.168.60.1,屬於排除範圍)不能訪問http服務器,其他pc正常訪問服務器。
pc0不能訪問:
pc1、pc2、pc3正常: