导航：首页 > 服务器 >

建立命名访问控制列表实战

发表于：2025-12-01 作者：千家信息网编辑

千家信息网最后更新 2025年12月01日，建立命名ACL实战本次实验拓扑结构如下：实验目的完成在sw-3路由上命名ACL的建立，实现实验要求：允许vlan10中的PC2主机访问PC4；拒绝vlan10中的其它主机访问PC4；允许其它网络主机访

千家信息网最后更新 2025年12月01日建立命名访问控制列表实战

建立命名ACL实战

本次实验拓扑结构如下：

实验目的

完成在sw-3路由上命名ACL的建立，实现实验要求：

允许vlan10中的PC2主机访问PC4；
拒绝vlan10中的其它主机访问PC4；
允许其它网络主机访问PC4。

实验步骤：

1、完成四台PC机IP地址的设置

PC1

PC1> ip 192.168.100.20 192.168.100.1Checking for duplicate address...PC1 : 192.168.100.20 255.255.255.0 gateway 192.168.100.1

PC2

PC2> ip 192.168.100.30 192.168.100.1Checking for duplicate address...PC1 : 192.168.100.30 255.255.255.0 gateway 192.168.100.1

PC3

PC3> ip 192.168.200.10 192.168.200.1Checking for duplicate address...PC1 : 192.168.200.10 255.255.255.0 gateway 192.168.200.1

PC4

PC4> ip 192.168.10.10 192.168.10.1Checking for duplicate address...PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1

2、完成二层交换机sw的设置

sw(config)#no ip routing                    //关闭路由功能（原镜像为三层交换机，所以这里需关闭路由功能）sw(config)#vlan 10,20                       //划分vlan广播域sw(config-vlan)#exsw(config)#int f 1/1sw(config-if)#sw mo acsw(config-if)#sw ac vlan 10sw(config-if)#exsw(config)#int f 1/2sw(config-if)#sw mo acsw(config-if)#sw ac vlan 10sw(config-if)#int f 1/3sw(config-if)#sw mo ac sw(config-if)#sw ac vlan 20sw(config-if)#ex sw(config)#do show vlan-sw bVLAN Name                             Status    Ports---- -------------------------------- --------- -------------------------------1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14                                                Fa1/1510   VLAN0010                         active    Fa1/1, Fa1/220   VLAN0020                         active    Fa1/31002 fddi-default                     act/unsup 1003 token-ring-default               act/unsup 1004 fddinet-default                  act/unsup 1005 trnet-default                    act/unsup sw(config)#int f 1/0sw(config-if)#sw tr en dosw(config-if)#sw mo trsw(config-if)#e*Mar  1 00:03:06.579: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunksw(config-if)#exsw(config)#do show int f 1/0

3、完成三层交换机sw-3的设置

sw-3(config)#vlan 10,20sw-3(config-vlan)#exsw-3(config)#int vlan 10sw-3(config-if)#ip add 192.168.100.1 255.255.255.0sw-3(config-if)#no shut sw-3(config-if)#int vlan 20sw-3(config-if)#ip add 192.168.200.1 255.255.255.0sw-3(config-if)#no shut sw-3(config-if)#exsw-3(config)#int f 1/1sw-3(config-if)#ip add 192.168.10.1 255.255.255.0             //该端口为二层端口无法设定IP地址% IP addresses may not be configured on L2 links.sw-3(config-if)#no switchport                                //关闭路由功能，使其成为三层端口sw-3(config-if)#ip add 192.168.10.1 255.255.255.0sw-3(config-if)#no shutsw-3(config-if)#exsw-3(config)#int f 1/0sw-3(config-if)#sw mo tr *Mar  1 00:02:43.731: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk*Mar  1 00:02:44.235: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up*Mar  1 00:02:44.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to upsw-3(config-if)#sw tr en dotsw-3(config-if)#ex sw-3(config)#

注意：此时，sw-3上未进行ACL的设置，如果实验步骤全部正确，应可以全网互通。

实例如下：

如果出现以上结果，则可以继续下面的操作。否则，请自行进行检查。

4、进行ACL的设置

sw-3

sw-3(config)#ip access-list standard zhy                  //建立命名访问控制列表sw-3(config-std-nacl)#5 permit host 192.168.100.30        //开头的5为序列号，可不写。不写则进行默认排序sw-3(config-std-nacl)#deny 192.168.100.0 0.0.0.255        //拒绝100网段的全部主机sw-3(config-std-nacl)#permit any                   sw-3(config-std-nacl)#exsw-3(config)#do show access-listsStandard IP access list zhy    5 permit 192.168.100.30    15 deny   192.168.100.0, wildcard bits 0.0.0.255    25 permit anysw-3(config)#sw-3(config)#int f 1/1sw-3(config-if)#ip access-group zhy out                //应in口为虚口，设置ACL比较繁琐。因此本次实验将ACL设置在out口。sw-3(config-if)#exsw-3(config)#