diff --git "a/18 \345\210\230\346\233\246/20250424 \350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250ACL.md" "b/18 \345\210\230\346\233\246/20250424 \350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250ACL.md" new file mode 100644 index 0000000000000000000000000000000000000000..807d2d8da01f75686bb021dd468e2f8561efe792 --- /dev/null +++ "b/18 \345\210\230\346\233\246/20250424 \350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250ACL.md" @@ -0,0 +1,143 @@ +### **标准ACL语法** + +#### **1. 创建ACL** + +``` +access-list <编号> <动作> <源IP> <通配符掩码> + +# 编号范围 1-99 + +# 动作:permit 允许 、 deny 拒绝 +``` + +#### **2. 示例** + +``` +access-list 10 permit 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24g整个网络(网段要加反掩码) + +access-list 10 permit 192.168.10.2 # 允许192.168.10.2单个IP通过 + +access-list 10 deny any # 拒绝其他所有流量 +``` + +#### **3. 应用ACL** + +``` +# 语法分两步骤 + +# 步骤1:先选择要应用ACL的端口 如 interface g0/0 +# 步骤2:通过ACL编号及方向来应用ACL,格式如下 +ip access-group <编号> <方向> # 方向 in / out 代表流量流入/流出路由器的方向 + +# 示例: +interface GigabitEthernet0/0 # 第一步,进入G0/0端口 +ip access-group 10 in # 第二步,在G0/0端口的入口方向应用编号为10的ACL +``` + +------ + +### **验证与排错** + +#### **1. 查看ACL配置** + +``` +show access-lists ! 显示所有ACL +show ip interface Gig0/0 ! 查看接口应用的ACL +``` + +![image-20250424182206024](https://gitee.com/liuxizm/picture-warehouse/raw/master/img/upgit_20250424_1745490131.png) + +``` +// 三层交换机设置应用ACL(实现任务一) +Switch>en + +Switch#confi t + +Switch(config)#access-list 10 permit 192.168.10.1 //允许这台主机访问 + +Switch(config)#access-list 10 deny any //拒绝所有流量 + +上面这两行规则,决定只有192.168.10.1这台主机可以访问外部 + +Switch(config)#interface f0/2 + +Switch(config-if)#ip access-group 10 out //把ACL规则应用到g0/2这个端口 + + + +// 在路由器1设置应用ACL(实现任务二) +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.20.0 0.0.0.255 //因为要允许的是网段,不是具体主机,所以要加上反掩码 + +Router(config)#access-list 10 deny any + +Router(config)#interface g0/1 + +Router(config-if)#ip access-group 10 in +``` + +![image-20250424182233234](https://gitee.com/liuxizm/picture-warehouse/raw/master/img/upgit_20250424_1745490153.png) + +``` +// 财务部财务经理链接的路由器配置应用ACL,实现任务1、2 +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.10.1 + +Router(config)#access-list 10 deny any + +Router(config)#interface g0/2 + +Router(config-if)#ip access-group 10 out +//后勤部路由器配置应用ACL,实现任务1、2 + +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.20.2 + +Router(config)#acc 10 deny any + +Router(config)#interface g0/0 + +Router(config-if)#ip acc 10 out +// 业务部中左边路由器配置应用ACL,实现任务1、2 +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.30.1 + +Router(config)#access-list 10 de any + +Router(config)#interface g0/2 + +Router(config-if)#ip access-group 10 out + + + + + +//业务部中右边路由器配置应用ACL,完成任务3 +Router>en + +Router#confi t + +Router(config)#access-list 10 permit 192.168.30.1 + +Router(config)#access-list 10 permit 3.3.3.0 0.0.0.255 + +Router(config)#access-list 10 deny any + +Router(config)#interface g0/0 + +Router(config-if)#ip access-group 10 in +``` + +![image-20250424182254991](https://gitee.com/liuxizm/picture-warehouse/raw/master/img/upgit_20250424_1745490175.png) \ No newline at end of file