Acl dopisane do interfejsu 2/3
Przez interfejs 2/3 przedostaje się jedynie ruch SSH od hosta 192.168.2.2 Cały pozostały ruch IP od wszystkich hostów/sieci jest akceptowany przez port 2/3.
! context test ! no ip domain-lookup ! interface 2/2 ip address 192.168.1.2/24 ! interface 2/3 ip address 192.168.2.1/24 ip access-group ACL-1 in ! interface llop1 loopback ip address 20.20.20.20/32 no logging console ! ip access-list ACL-1 ssh-and-telnet-acl seq 10 permit tcp host 192.168.2.2 any eq ssh max-sessions 5 min-sessions 0 seq 20 deny tcp any any eq ssh seq 30 permit ip any any ! enable encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/ ! ! administrator admin encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/ ! ! ip route 0.0.0.0/0 192.168.1.1 service ftp client service ssh service telnet ! ! ! ! End
Użycie admin-access-group ACL-2 in
Inaczej niż w przykładzie powyżej ACL-2 dopięty jest do kontekstu, a nie interfejsu. Kontekst Test akceptuje wykonanie wewnątrz serwisu SSH. Tylko dla hostów 192.168.2.2, 192.168.2.3
context test ! no ip domain-lookup ! interface 2/2 ip address 192.168.1.2/24 ! interface 2/3 ip address 192.168.2.1/24 ! interface llop1 loopback ip address 20.20.20.20/32 no logging console ! ip access-list ACL-1 ssh-and-telnet-acl seq 10 permit tcp host 192.168.2.2 any eq ssh max-sessions 5 min-sessions 0 seq 20 deny tcp any any eq ssh seq 30 permit ip any any ! ip access-list ACL-2 seq 10 permit tcp host 192.168.2.2 any eq ssh seq 15 permit tcp host 192.168.2.3 any eq ssh seq 20 deny tcp any any eq ssh seq 30 permit ip any any ! enable encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/ ! ! administrator admin encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/ ! ! ip route 0.0.0.0/0 192.168.1.1 service ftp client service ssh service telnet ! admin-access-group ACL-2 in ! ! ! ! end