一、命令IP访问列表:
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,因为一般访问控制列表,我们只要删除其中一个条目,那么所有的条目都已经被删除了,所以增加了我们修改的难度,而名称列表可以达到任意添加修改和删除某一特定的ACL中个别的控制条目的效果。
(1)创建命名访问列表:router(config)#ip access-list {extended or standard} name
- standard : 标准
- extended :扩展
- name : ACL的名字(自定义的)
(2)删除整组ACL:router(config)#no ip access-list {extended or standard} name
(3)删除组中单一ACL语句:
- no Sequence-Number(推荐使用这个,比较方便简单)
- no ACL语句
(4)将ACL应用于接口:router(config-if)# ip access-group access-list-name {in | out}
(5)在接口上取消ACL的应用:router(config-if)# no ip access-group access-list-name {in | out}
二、具体实验:
(1)实验环境准备:
1、准备四台PC机;一台二层交换机;一台三层交换机
2、PC1和PC2属于vlan10,PC3属于vlan20;
3、实验拓扑图及目的如下:
(2)实验步骤:
第一步:配置sw(sw仅作为交换机使用,需要关闭其路由功能)
no ip routing //关闭路由功能
第二步:配置sw3(sw3作为三层交换机,需要具备路由转发功能)
第三步:给四台PC机给自配上ip地址
第四步:现在我们先测试一下,用PC1 ping一下其他三台主机,如果ping通的话,则代表现在数据传输无障碍,已经实现全网互通了。
第五步:为了达到实现效果,我们现在对sw3进行命名访问列表控制,
- 使vlan10中,只允许PC1能够访问PC4,禁止其他主机访问PC4;
- 但是允许其他网段访问PC4;
第六步:实验效果验证,访问列表创建后,PC1和PC3依旧还是可以和PC4互通,但是PC2不能和PC4互通了。
第七步:如果现在我们想让PC2能够和PC4实现互通,只需要添加一条ACL即可
命令如下:
15 permit host 192.168.10.20 // 15表示一个序号,只需要小于20即可,再把PC2的ip地址加上即可如果再想删除这条ACL,输入如下:
no 15 // 15表示序列数
做了如上操作后,PC2与PC4的互通情况如下:
