1. 配置步骤:
- 配置好基本的接口 IP 。
- 在路由器 Router上创建ACL,注意: 必须首先进入系统视图,然后执行命令 aclacl-number。对于基本ACL,acl-number 的值必须在2000~2 999的范围内,我们这里确定为2000。另外,我们假设网管人员的PC (IP地址为 172.16.0.2)已经使用Telnet方式登录上了路由器Router。
- 创建了基本 ACL 2000 后,我们便可以使用 rule 命令来制定相应的规则。首先,我们制定一条规则,其含义是允许(permit)源IP地址为 172.16.0.2 的IP报文。
- 然后再制定一条规则,其含义是拒绝(deny)源IP地址为任意地址的P报文。
- 最后,我们在VTY上应用 ACL 2000 。
acl 2000
rule permit source 172.16.0.2 0
rule deny source any
quit
user-interface vty 0 4
acl 2000 inbound
quit
在完成上述配置后,我们可以通过以下命令来对配置进行验证。
- display acl 2000 来查看ACL 2000的配置。
1. ACL 命令:
- ACL分为基本ACL和高级ACL等类型。基本ACL只能基于P报文的源P地址、报文分片标记和时间段信息来定义规则。
- 基本ACL规则的命令具有如下的结构。
rule [rule-id] {deny / permit} [source {source-address source-wildcard | any}lfragment | logging | time-range time-name]
2. 命令中各个组成项的解释如下:
| 命令 | 说明 |
|---|
| rule | 表示这是一条规则。 |
| rule-id | 表示这条规则的编号。 |
| deny / permit | 这是一个二选一选项,表示与这条规则相关联的处理动作。deny表示“拒绝”:permit表示“允许”。 |
| source | 表示源IP地址信息。 |
| source-address | 表示具体的源IP地址。 |
| source-wildcard | 表示与 source-address相对应的通配符。source-wildcard和source-address的结合使用,可以确定出一个IP地址的集合。极端情况下,该集合中可以只包含一个IP地址。通配符source-wildcard的使用方法,是与 8.3.11小节中wildcard-mask 的使用方法完全一样的,所以这里不再赘述。 |
| any | 表示源P地址可以是任何地址。 |
| fragment | 表示该规则只对非首片分片报文有效。 |
| logging | 表示需要将匹配上该规则的P报文进行日志记录。 |
| time-range time-name | 表示该规则的生效时间段为time-name,具体的使用方法这里不做描述。 |
评论 (0)