UC知道cisco 访问控制列表配置
来源:百度知道 编辑:UC知道 时间:2024/07/01 01:35:43
我想禁止一个IP下载东西,想利用控制列表禁止,之后再取消这个控制列表,请高手,指点一下,万分感谢
最直接的办法就是禁止他访问外网,也就是说封了他的IP地址,请sundancesy ,chris777808 ,帮忙再说一下 access-list 101 deny ip any 192.168.0.192 0.0.0.0
access-list 101 deny ip any 192.168.0.20 0.0.0.0
access-list 101 permit ip any any
access-list 1 deny 192.168.0.192
access-list 1 deny 192.168.0.20
access-list 1 permit any
in f0/1
ip access-group 1 in
ip access-group 101 out 这是不是就可以禁止192跟20不能访问外网
in f0/1
no ip access-group 1 in
no ip access-group 101 out
exit
no access-list 1
no access-list 101
access-list 1 permit any这是取消的命令,对吗?
最直接的办法就是禁止他访问外网,也就是说封了他的IP地址,请sundancesy ,chris777808 ,帮忙再说一下 access-list 101 deny ip any 192.168.0.192 0.0.0.0
access-list 101 deny ip any 192.168.0.20 0.0.0.0
access-list 101 permit ip any any
access-list 1 deny 192.168.0.192
access-list 1 deny 192.168.0.20
access-list 1 permit any
in f0/1
ip access-group 1 in
ip access-group 101 out 这是不是就可以禁止192跟20不能访问外网
in f0/1
no ip access-group 1 in
no ip access-group 101 out
exit
no access-list 1
no access-list 101
access-list 1 permit any这是取消的命令,对吗?
那样写列表,192.168.0.X的那个IP连外网都会不能访问,最好是能根据下载软件的端口号来封
access-list 1 per any 是必须加的,因为ACL最后默认隐藏的是deny any,如果不加这句,所有IP地址都不能访问外网
如果光禁止下载的话,光靠ACL不行,要QoS,如果要让他连网都上不了就简单多了,如果IP不是动态分配的,而是你自己分配的话,直接用ACL deny掉那个IP的80端口就行了
访问控制列表很难做到 除非知道对端IP地址 端口号 限制下载只能通过PBR做
access-list 101 deny ip host 192.168.0.20 any
access-list 101 deny ip any host 192.168.0.20
access-list 101 deny ip host 192.168.0.192
any
access-list 101 deny ip any host 192.168.0.192
access-list 101 permit ip any any
ip access-group 101 in
ip access-group 101 out