Lab4 IOS L3 Setting、Access Control List (ACL) === * [完成品](https://drive.google.com/file/d/1J52RAwiBjOgDKaYG6Aa7p-vh-z-mOHxn/view?usp=sharing) * 架構  * PC 設定 * Default gateway: 10.0.0.1 or 10.0.1.1 * 開啟 router 的 gigabitEthernet 1. enable 2. configure terminal 3. interface range gigabitEthernet 0/0-1 (這邊看線連哪個 port) 4. no shutdown 開啟那個 port * 設定 router 兩邊的網段 * 在兩邊的 port 各設定各自的網段  * 注意 gateway 要設得跟 PC 那邊一樣，不然會找不到 * 設定 router ssh * 跟 switch 一樣   * router 設定 radius  * 在 ssh 時，會先去問 radius-server * 原理就是把 router 的 auth_list 的優先順序(先 radius 再 local) * router 設定 ACL * Wildcard mask != Inverse Subnet mask，因為 wildcard 可以有中間 bit 是 1，不一定 0, 1 分兩邊 * ACL * standard ACL 只能限制 source ip * extended ACL 可以限制 source IP, source port , destination IP , destination port and protocol * 通常要限制 source ip，會放得靠近 destination 一點，不然會擋到不該擋的流量；反之，要限制 dest ip，會放得靠近 source 一點，不然會有很多早就該知道被擋的流量在傳。 * standard ACL 設定 * 使用方式  * 實際命令  * access-list 後放 list number，CISCO 必須是 1-99, 1300-1999 * extended ACL 設定 * 使用方式  * 實際命令  * 設定特定服務範例: `permit ip any any eq www` * apply ACL * apply 之後，前面設定的規則才會生效   * 要取消的話，就在前面加個 no * Sequence Number * 因為是 first match 機制，所以順序很重要，需要 sequence number 排序