家里装了监控摄像头,总担心别人偷偷连上你的网络?公司Wi-Fi不想让无关人员接入?其实通过简单的网络访问控制列表(ACL)配置,就能把不该进的人挡在外面。这个听起来专业的东西,动手做一遍就会发现并不难。
什么是网络访问控制列表
简单说,ACL就是路由器或交换机上的“门卫”,它能根据设定的规则决定哪些设备能访问网络,哪些不能。比如你可以设置只允许自家手机和电脑上网,其他陌生设备一律禁止。
实验环境准备
你不需要去机房,在家也能练。用模拟器如Cisco Packet Tracer或者华为eNSP,搭个小型网络:一台路由器、两台PC、一个交换机。给PC分配IP地址,比如192.168.1.10和192.168.1.11。
配置步骤演示
假设你想阻止192.168.1.11这台设备访问外网,只放行192.168.1.10。登录路由器命令行,开始配置:
access-list 100 permit ip 192.168.1.10 0.0.0.0 any
access-list 100 deny ip 192.168.1.11 0.0.0.0 any
interface gigabitethernet0/0
ip access-group 100 out上面这段命令的意思是:创建编号为100的ACL规则,先允许1.10的设备通行,再拒绝1.11的设备,最后把这个规则应用到出口接口上。
验证效果
配置完别急着收工。在被禁止的那台PC上尝试ping外网地址,比如8.8.8.8,会发现请求超时。而被允许的设备一切正常。这就说明ACL生效了。
小贴士:规则顺序很重要
ACL是按顺序一条条匹配的,一旦命中就不再往下走。所以“允许”规则如果写在“拒绝”后面,可能根本不起作用。就像门口贴告示,得先把谁可以进写清楚,再写谁不能进。
平时在家做实验,可以试着加一条时间限制规则,比如工作日的晚上8点到9点才允许孩子连游戏服务器,其他时间自动屏蔽。这样既能练技术,又能管住熊孩子。