只允許一台Client存取Server1
Access-list 1 permit 192.168.1.1 使用編號1做為Access List編號,並允許192.168.1.1通過。 Int fastEthernet 0/1 Ip access-group 1 out 選擇FastEthernet0/1來套用規則,並把Access List 1此規則套用在Fa 0/1離開介面的方向。 |
將規則寫在in方向的另外做法
Router-0(config)#access-list 2 permit 192.168.1.1 Router-0(config)#int fastEthernet 0/0 Router-0(config-if)#ip access-group 2 in |
在使用Standard Access List時,應該盡量設定在靠近目的的位置。
在使用Extended Access List時,應該盡量設定在靠近來源的位置。
允許192.168.1.1~192.168.1.126至個範圍的pc可以存取server1,但是192.168.1.128~192.168.1.253這個範圍禁止存取server1。
允許192.168.1.0/255.255.255.128可以存取server1,其餘禁止。
Subnet Mask 255.255.255.128的Wildcard Mask是: 0.0.0.127
Router-0(config)#access-list 3 permit 192.168.1.0 0.0.0.127 Router-0(config)#int fastEthernet 0/1 Router-0(config-if)#ip access-group 3 out |
Access-list 3 permit 192.168.1.0 0.0.0.127 以WildCard Mask來設定一整段的ip Int fastEthernet 0/1 Ip access-group 3 out 把access list 3套用在fa0/1介面的out方向 |
以負向列表方式來設定Access List來禁止pc-1存取server-1,其餘可以存取。
Router-0(config)#access-list 4 deny 192.168.1.1 Router-0(config)#access-list 4 permit any Router-0(config)#int fastethernet 0/1 Router-0(config-if)#ip access-group 4 out |
禁止192.168.1.1 Cisco router預設採用正向列表,最後會加上一條隱藏的deny any,若要改變這種預設行為,我們要在access list的最後加上一條permit any,這樣才可以把正向列表變成負向列表。 將access list 4套用在fa0/1介面的out方向。 |
以負向列表的方式來禁止192.168.1.1~192.168.1.127禁止存取server-1。
Router-0(config)#access-list 5 deny 192.168.1.0 0.0.0.127 Router-0(config)#access-list 5 permit any Router-0(config)#int fastethernet 0/1 Router-0(config-if)#ip access-group 5 out |
禁止192.168.1.0~192.168.1.127存取,其餘放行。 將access-list 5套用在fa0/1介面的out方向。 |
允許任何電腦存取SERVER1的WWW服務,其餘服務需禁止
Router-0(config)#access-list 101 permit tcp any host 192.168.2.1 eq www Router-0(config)#int fastethernet 0/0 Router-0(config-if)#ip access-group 101 in |
管制服務,使用編號101~199 http服務使用tcp80,所以permit後面接tcp Extended access list可以明確的在指令中指定Source(來源)與Destination(目的地),所以以any指定來源,host指定目的。 Eq 是指定服務種類,可以只接填寫服務名稱。 |
192.168.1.0/25網段可以ping server
192.168.1.128/25網段可以使用www瀏覽server
192.168.1.253可以無限制存取server
其餘行為皆禁止
Router-0(config)#access-list 102 permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo Router-0(config)#access-list 102 permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www Router-0(config)#access-list 102 permit ip host 192.168.1.253 host 192.168.2.1 Router-0(config)#int fastethernet 0/0 Router-0(config-if)#ip access-group 102 in |
允許來源192.168.1.0/25至目的地192.168.2.1行為ICMP-echo 允許來源192.168.1.128至目的地192.168.2.1行為TCP www 允許來源192.168.1.253至目的地192.168.2.1行為不設限 |
Access List查詢
Router-0#show access-list Extended IP access list 102 permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www permit ip host 192.168.1.253 host 192.168.2.1 |
顯示Router所有的Access List,但並不會顯示套用在哪一個介面上。 |
Router-0#show access-list 102 Extended IP access list 102 permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www permit ip host 192.168.1.253 host 192.168.2.1 |
顯示想要知道的Access List編號,但一樣不會顯示套用在哪一個介面上。 |
Router-0#show run ! interface FastEthernet0/0 ip address 192.168.1.254 255.255.255.0 ip access-group 102 in duplex auto speed auto ! access-list 102 permit icmp 192.168.1.0 0.0.0.127 host 192.168.2.1 echo access-list 102 permit tcp 192.168.1.128 0.0.0.127 host 192.168.2.1 eq www access-list 102 permit ip host 192.168.1.253 host 192.168.2.1 |
Running-config裡面一定有Access List紀錄,且可以觀察哪個介面套用哪個規則 |
留言列表