2.高级ACL配置
一、实验内容
1.需求/要求:
使用三台PC和一台交换机,在交换机上配置高级ACL,测试PC1、PC2、PC3间的连通性。
二、实验过程
1.拓扑图:
2.步骤:
1.给PC3配置ip地址:
2.给交换机SW3配置高级ACL
[SW1]acl number 2000 /进入ACL2000
SW1-acl-basic-2000]rule 1 deny source 192.168.1.1 0 /拒绝源地址192.168.1.1
[SW1]acl number 3000 /进入ACL 3000
[SW1-acl-adv-3000]rule 1 deny ip source 192.168.1.1 0 destination 192.168.1.2 0 /拒绝源IP--目的IP
[SW1]int g 0/0/1 /进入0/0/1接口
[SW1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 /在G0/0/1接口入方向调用ACL 3000
[SW1-GigabitEthernet0/0/1]int g 0/0/3 /进入0/0/1接口
[SW1-GigabitEthernet0/0/3]traffic-filter outbound acl 2000 /在G0/0/3接口出方向调用ACL 3000
3.测试PC1--PC2、PC1--PC3
4.undo掉基本ACL配置acl 2000
5.再测试一下PC1--PC3(可以连通了)
三、实验结论
高级ACL:(3000-3999)可以做源地址和目的的匹配
高级ACL可以指定一条路径,比如想要拒绝PC1到PC2的通信,但要使PC1和PC3能够连通,所以要做一条特定的ACL,[SW1-acl-adv-3000]rule 1 deny ip source 192.168.1.1 0 destination 192.168.1.2 0,这样子PC1和PC2就不能通信,而PC1和PC3还可以相互通信。