(1) 进入全局配置模式,通过access-list命令配置ACL功能。
Hostname> enable
Hostname# configure terminal
1、配置IP标准ACL,通过源IP地址的过滤,实现基于IP报文控制用户访问网络资源的目的。
Hostname(config)# access-list 1 permit host 192.168.1.2
2、配置扩展ACL。通过源/目的IP地址、IP协议号、四层源(或者目的)端口号的过滤,实现基于IP报文控制用户访问网络资源的目的。
Hostname(config)# access-list 100 permit tcp host 192.168.1.2 host 192.168.2.3
3、配置专家级ACL。通过对报文的二层和三层信息对进出设备的报文进行精细化控制,实现控制用户访问网络资源的目的。
Hostname(config)# access-list 2700 permit icmp host 192.168.3.1 any host 192.18.10.1 any
4、 配置MAC扩展ACL。通过对二层报文头的过滤,实现控制用户访问网络资源的目的。
Hostname(config)# access-list 700 permit 0010.0000.1102 00e0.f800.000d any etype-any
5、 配置IPv6 ACL。通过对进出设备的IPv6报文进行精细化控制,实现控制IPv6用户访问网络资源的目的。
Hostname(config)#ipv6 access-list ipv6
Hostname(config-ipv6-acl)#deny ipv6 any host 1002::2
(2) 将ACL应用在接口上。
Hostname(config)# interface gigabitethernet 0/1
1、将标准ACL1应用在接口GigabitEthernet 0/1的出方向。
Hostname(config-if-GigabitEthernet 0/1)# ip access-group 1 out
2、 将扩展ACL 100应用在接口GigabitEthernet 0/1的出方向。
Hostname(config-if-GigabitEthernet 0/1)# ip access-group 100 out
3、将专家级ACL 2700应用在接口GigabitEthernet 0/1的出方向。
Hostname(config-if-GigabitEthernet 0/1)# ip access-group 2700 out
4、 将MAC扩展ACL 700应用在接口GigabitEthernet 0/1的出方向。
Hostname(config-if-GigabitEthernet 0/1)# mac access-group 700 out
5、 将IPv6 ACL ipv6应用在接口GigabitEthernet 0/1的入方向。
Hostname(config-if-GigabitEthernet 0/1)# ipv6 traffic-filter ipv6 in
(3) 通过show access-list命令查看配置结果。
(4) 通过show access-group命令查看ACL的应用情况。
