HCIA--实验十六：ACL通信实验（2）

2.高级ACL配置

一、实验内容

1.需求/要求：

使用三台PC和一台交换机，在交换机上配置高级ACL，测试PC1、PC2、PC3间的连通性。

二、实验过程

1.拓扑图：

2.步骤：

1.给PC3配置ip地址：

2.给交换机SW3配置高级ACL

SW1\]acl number 2000 /进入ACL2000 SW1-acl-basic-2000\]rule 1 deny source 192.168.1.1 0 /拒绝源地址192.168.1.1  \[SW1\]acl number 3000 /进入ACL 3000 \[SW1-acl-adv-3000\]rule 1 deny ip source 192.168.1.1 0 destination 192.168.1.2 0 /拒绝源IP--目的IP  \[SW1\]int g 0/0/1 /进入0/0/1接口 \[SW1-GigabitEthernet0/0/1\]traffic-filter inbound acl 3000 /在G0/0/1接口入方向调用ACL 3000 \[SW1-GigabitEthernet0/0/1\]int g 0/0/3 /进入0/0/1接口 \[SW1-GigabitEthernet0/0/3\]traffic-filter outbound acl 2000 /在G0/0/3接口出方向调用ACL 3000  3.测试PC1--PC2、PC1--PC3 4.undo掉基本ACL配置acl 2000  5.再测试一下PC1--PC3（可以连通了）  ### 三、实验结论 高级ACL：（3000-3999）可以做源地址和目的的匹配 高级ACL可以指定一条路径，比如想要拒绝PC1到PC2的通信，但要使PC1和PC3能够连通，所以要做一条特定的ACL，\[SW1-acl-adv-3000\]rule 1 deny ip source 192.168.1.1 0 destination 192.168.1.2 0，这样子PC1和PC2就不能通信，而PC1和PC3还可以相互通信。