只允許一台Client存取Server1

 ScreenHunter_01 Mar. 01 11.40  

Router-0(config)#access-list 1 permit 192.168.1.1

Router-0(config)#int fastEthernet 0/1

Router-0(config-if)#ip access-group 1 out

Access-list 1 permit 192.168.1.1

使用編號1做為Access List編號,並允許192.168.1.1通過。

Int fastEthernet 0/1

Ip access-group 1 out

選擇FastEthernet0/1來套用規則,並把Access List 1此規則套用在Fa 0/1離開介面的方向。

將規則寫在in方向的另外做法

Router-0(config)#access-list 2 permit 192.168.1.1

Router-0(config)#int fastEthernet 0/0

Router-0(config-if)#ip access-group 2 in

在使用Standard Access List時,應該盡量設定在靠近目的的位置。

在使用Extended Access List時,應該盡量設定在靠近來源的位置。

 

 

允許192.168.1.1~192.168.1.126至個範圍的pc可以存取server1,但是192.168.1.128~192.168.1.253這個範圍禁止存取server1

 

允許192.168.1.0/255.255.255.128可以存取server1,其餘禁止。

 

Subnet Mask 255.255.255.128Wildcard Mask: 0.0.0.127

 

Router-0(config)#access-list 3 permit 192.168.1.0 0.0.0.127

Router-0(config)#int fastEthernet 0/1

Router-0(config-if)#ip access-group 3 out

Access-list 3 permit 192.168.1.0 0.0.0.127

WildCard Mask來設定一整段的ip

Int fastEthernet 0/1

Ip access-group 3 out

access list 3套用在fa0/1介面的out方向

 

以負向列表方式來設定Access List來禁止pc-1存取server-1,其餘可以存取。

 

Router-0(config)#access-list 4 deny 192.168.1.1

Router-0(config)#access-list 4 permit any

Router-0(config)#int fastethernet 0/1

Router-0(config-if)#ip access-group 4 out

禁止192.168.1.1

Cisco router預設採用正向列表,最後會加上一條隱藏的deny any,若要改變這種預設行為,我們要在access list的最後加上一條permit any,這樣才可以把正向列表變成負向列表。

access list 4套用在fa0/1介面的out方向。

 

以負向列表的方式來禁止192.168.1.1~192.168.1.127禁止存取server-1

 

Router-0(config)#access-list 5 deny 192.168.1.0 0.0.0.127

Router-0(config)#access-list 5 permit any

Router-0(config)#int fastethernet 0/1

Router-0(config-if)#ip access-group 5 out

禁止192.168.1.0~192.168.1.127存取,其餘放行。

access-list 5套用在fa0/1介面的out方向。

 

允許任何電腦存取SERVER1WWW服務,其餘服務需禁止

 

Router-0(config)#access-list 101 permit tcp any host 192.168.2.1 eq www

Router-0(config)#int fastethernet 0/0

Router-0(config-if)#ip access-group 101 in

管制服務,使用編號101~199

http服務使用tcp80,所以permit後面接tcp

Extended access list可以明確的在指令中指定Source(來源)Destination(目的地),所以以any指定來源,host指定目的。

Eq 是指定服務種類,可以只接填寫服務名稱。

 

192.168.1.0/25網段可以ping server

192.168.1.128/25網段可以使用www瀏覽server

192.168.1.253可以無限制存取server

其餘行為皆禁止

 

Router-0(config)#access-list 102 permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo

Router-0(config)#access-list 102 permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www

Router-0(config)#access-list 102 permit ip host 192.168.1.253 host 192.168.2.1

Router-0(config)#int fastethernet 0/0

Router-0(config-if)#ip access-group 102 in

允許來源192.168.1.0/25至目的地192.168.2.1行為ICMP-echo

允許來源192.168.1.128至目的地192.168.2.1行為TCP www

允許來源192.168.1.253至目的地192.168.2.1行為不設限

 

Access List查詢

Router-0#show access-list

Extended IP access list 102

    permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo

    permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www

    permit ip host 192.168.1.253 host 192.168.2.1

顯示Router所有的Access List,但並不會顯示套用在哪一個介面上。

 

Router-0#show access-list 102

Extended IP access list 102

    permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo

    permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www

    permit ip host 192.168.1.253 host 192.168.2.1

顯示想要知道的Access List編號,但一樣不會顯示套用在哪一個介面上。

 

Router-0#show run

!

interface FastEthernet0/0

 ip address 192.168.1.254 255.255.255.0

 ip access-group 102 in

 duplex auto

 speed auto

!

access-list 102 permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo

access-list 102 permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www

access-list 102 permit ip host 192.168.1.253 host 192.168.2.1

Running-config裡面一定有Access List紀錄,且可以觀察哪個介面套用哪個規則

 

創作者介紹
創作者 林作倉 的頭像
林作倉

林作倉

林作倉 發表在 痞客邦 留言(0) 人氣()