# 思科路由器创建ACL禁止单IP外网

要禁止 `192.168.30.63` 访问 `192.168.11.254` 这一路由器的 IP 地址，可以使用 **访问控制列表（ACL）** 来实现，阻止从 `192.168.30.63` 到 `192.168.11.254` 的流量。

### 配置步骤：

1. **创建 ACL 规则**，禁止 `192.168.30.63` 访问 `192.168.11.254`。
2. **应用 ACL 到接口** `GigabitEthernet0/1` 的进入流量（`in` 方向）。

### 步骤 1：创建 ACL

首先，创建一个 IPv4 的 **标准 ACL**，只针对单一 IP 地址进行匹配。

```bash
ip access-list standard Block-30.63
 deny host 192.168.30.63
 permit any

```

- `deny host 192.168.30.63`：禁止来自 `192.168.30.63` 的流量。
- `permit any`：允许其他所有流量。

### 步骤 2：将 ACL 应用到接口

接下来，在 `GigabitEthernet0/1` 接口上应用这个 ACL，确保它对进入该接口的流量生效。

```bash
interface GigabitEthernet0/1
 ip access-group Block-30.63 in

```

- `ip access-group Block-30.63 in`：在接口 `GigabitEthernet0/1` 上应用 ACL `Block-30.63`，并指定方向为 **进入**（`in`）。这意味着 ACL 会过滤从 `192.168.30.63` 进入路由器的流量。

### 配置验证：

1. **查看接口配置**：
    
    ```bash
    show running-config interface GigabitEthernet0/1
    
    ```
    
    确保 `ip access-group Block-30.63 in` 出现在接口配置中。
2. **检查 ACL 配置**：
    
    ```bash
    show access-lists Block-30.63
    
    ```
    
    这将显示已配置的 ACL 规则，确保 `deny` 规则生效。
3. **测试**：
    
    
    - 从 `192.168.30.63` 设备进行 ping 测试，尝试访问 `192.168.11.254`（路由器）。如果配置正确，应该无法访问。
    - 从其他 IP 设备进行测试，确保其他设备可以正常访问。

### 小结：

通过创建 ACL 并将其应用于路由器的接口，您成功地阻止了 `192.168.30.63` 访问路由器 IP `192.168.11.254`。