扩展(高级)ACL:
在没有ACL情况下C 1是可以访问Server的FTP和WWW服务的。
R1:
[R1]acl 3000(定义一个扩展ACL3000)
[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.20 0.0.0.0 destination192.168.2.10 0.0.0.0(允许以C2为源C3为目标的流量)
[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination192.168.2.0 0.0.0.255(注意此条语句位置!拒绝所有vlan 10为源vlan 20为目标的流量)
[R1-acl-adv-3000]rule 15 deny tcp source 192.168.1.10 0.0.0.0 destination13.0.0.2 0.0.0.0 destination-port eq 80(拒绝C1为源访问目标为Server的TCP 80端口)
[R1-acl-adv-3000]rule 20 permit ip source any(最后允许所有未匹配的流量)
[R1]int g0/0/1.10
[R1-GigabitEthernet0/0/1.10]traffic-filter inboundacl 3000(在vlan 10网关的in方向调用ACL)
实验验证:
在C2上与C3通信但是无法与vlan 20其他主机通信,且可以访问Server可正常上网。
在C1上不能访问Server的WWW服务,但仍然可以访问FTP服务,所以扩展ACL生效。
联系客服