實驗
訪問控制列表的配置
先是拓撲圖
有兩部分組成:
第一:標準訪問控制列表配置
第二:擴展訪問控制列表配置
在實驗之前,大家有必要了解一下二者的區別,標準訪問控制列表它只是對源
ip地址進行限制並且它的數字表號是1-99,而擴展訪問控制列表時源ip地址,目的ip地址,還有源端口和目的端口進行限制,用的空間更大。它的表號是100-199.
第一:標準訪問控制列表配置
實驗要求
(1)允許網段10.10.1.0/24訪問各個路由器的內部網段
(2)不允許網段10.10.2.0/24訪問各個路由器的內部網段
實驗步驟:
(1)準備工作:先配完ip地址使各個網段能夠通信。在此過程中,需要有一點注意,可以在兩個路由器上配默認路由,或者配靜態,使所有的網段通信。
(2)先進行標準訪問控制列表的配置
在全局模式下
access-list 1 deny 10.10.2.0 0.0.0.255
access-list 1 permit 10.10.1.0 0.0.0.255
access-list 1 permit any
然後,進入接口模式
ip access-group 1 out
在本實驗中,可以在任一個路由器上來配置
如果在R1配置,進入f1/0接口
ip access-group 1 out
如果在R2配置,進入f0/0接口
ip access-group 1 in
到此就可以實現上述實驗的要求
第一:擴展訪問控制列表配置
實驗要求
1.允許10.10.1.0的網段訪問172.16.1.10上的www服務
2.不允許10.10.2.0的網段訪問172.16.1.10上的www服務
3.允許10.10.1.0的網段telnet路由器R2
2.不允許10.10.2.0的網段訪問172.16.1.10上的www服務
3.允許10.10.1.0的網段telnet路由器R2
4.不允許10.10.2.0的網段telnet路由器R2
5.允許所有設備互相ping通
5.允許所有設備互相ping通
配置步驟
access-list 101 deny tcp 10.10.2.0 0.0.0.255 host 172.16.1.10 eq 80
access-list 101 deny tcp 10.10.2.0 0.0.0.255 host 192.168.1.1 eq 23
access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.10 eq 80
access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 192.168.1.1 eq 23
access-list 101 permit icmp any any echo
access-list 101 permit ip any any
在路由器R2上,進入f0/0接口
access-list 101 deny tcp 10.10.2.0 0.0.0.255 host 192.168.1.1 eq 23
access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.10 eq 80
access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 192.168.1.1 eq 23
access-list 101 permit icmp any any echo
access-list 101 permit ip any any
在路由器R2上,進入f0/0接口
ip access-group 101 in
最後
查看ACL列表
show ip interface f0/0
show access-list