思科设备ACL实战全集

vpcs里，按住ctrl 不放，按住c， ping -t 停止

标准ACL应用：

实验拓扑

1.VLAN 10和20之间不能互访，但都可以上网。

2.VLAN 10中的c1主机不能上网，其他人不受影响。

完成第一条配置命令如下：

R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255（建立访问拒绝10段访问控制列表）

R1(config)#do show ip access（查看配置）

Standard IP access list 10

10 deny  192.168.10.0, wildcard bits 0.0.0.255

R1#show run(查看配置)

Building configuration...

access-list 10 deny  192.168.10.0 0.0.0.255 （访问列表10）

R1#show ip int b（访问控制列表不能放在0/0.10方向，会导致10段被封死，10段不能和20段通且上不了外网！故放在0/0.20 out方向）

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet0/0            unassigned      YES manual up                    up

FastEthernet0/0.1          192.168.1.1    YES manual up                    up

FastEthernet0/0.10        192.168.10.1    YES manual up                    up

FastEthernet0/0.20        192.168.20.1    YES manual up

R1(config-subif)#ip access-group 10 out（out 为方向）此条语句一旦执行，c1 ping c4立马不通！ 

R1(config)#access-list 10 permit any（默认回来流量经过R10/0.20，进行第一条语句匹配，没成功拒绝所有，加上此语句pc4能上外网）

R1#show ip access-lists（查看配置）

Standard IP access list 10

10 deny  192.168.10.0, wildcard bits 0.0.0.255 (218 matches)

20 permit any

c1 ping 不通 c4 ,列表放在R1的 f0/1 out 方向。

R1(config)#access-list 11 deny host 192.168.10.10

R1(config)#access-list 11 permit any

R1(config)#int fa0/1

R1(config-if)#ip access-group 11 out

R1(config)#no access-list 11 ?(建立的列表一删除只能删除所有，不能删一条，不够人性化)

R1#show ip int fa0/1 （查看列表使用情况）

Outgoing access list is 11（列表用在列表11的out方向）