本文共 4473 字,大约阅读时间需要 14 分钟。
标准ACL+扩展ACL+命名ACL
拓扑图
配置全网互通
Router0
Router#conf
Router(config)#int f0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#int s2/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#clock rate 128000
Router(config-if)#no shutdown
Router(config)#int f1/0
Router(config-if)#ip address 192.168.5.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 192.168.1.0
Router(config-router)#network 192.168.2.0
Router(config-router)#network 192.168.5.0
Router1
Router>enable
Router#conf
Router(config)#int s2/0
Router(config-if)#ip address 192.168.2.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#int s3/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#clock rate 128000
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 192.168.2.0
Router(config-router)#network 192.168.3.0
Router(config-router)#exit
Router2
Router>enable
Router#conf
Router(config)#int s3/0
Router(config-if)#ip address 192.168.3.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#int f0/0
Router(config-if)#ip address 192.168.4.1 255.255.255.0
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 192.168.3.0
Router(config-router)#network 192.168.4.0
Router(config-router)#
PC1
PC0
server0
1>> 标准ACL
要求 : 在router1路由器上作ACL,使网段192.168.1.0不能访问路由器2,只有pc0可以访问router2的telnet服务
在router上进行ACL设置
Router>enable
Router#conf
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit any
Router(config)#int s2/0
Router(config-if)#ip access-group 1 in
Router(config-if)#exit
Router(config)#access-list 2 permit 192.168.5.2
Router(config)#line vty 0 4
Router(config-line)#access-class 2 in
Router(config-line)#password cisco
Router(config-line)#login
测试
pc1 上
PC>ping 192.168.2.2
Pinging 192.168.2.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.2.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
pc0上
PC>telnet 192.168.2.2
Trying 192.168.2.2 ...Open
User Access Verification
Password:
Router>
2>> 扩展ACL
要求: 192.168.1.0 网段不能访问192.168.4.2的www服务器
192.168.5.0 网段不能ping通192.168.4.0网段。
在Router1上配置如下
Router>
Router>enable
Router#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.4.2 eq www
Router(config)#access-list 101 deny icmp 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255
Router(config)#access-list 101 permit ip any any
Router(config)#int s2/0
Router(config-if)#ip access-group 101 in
Router(config-if)#exit
Router(config)#
测试
在pc1上测试
在PC0上测试
进行ping
PC>ping 192.168.4.2
Pinging 192.168.4.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
可以看到ping 不通,但可以访问www服务器
3>> 命名ACL
命名ACL又分为标准命名ACL和扩展命名ACL
标准命名ACL
要求和标准ACL一样
要求 : 在router1路由器上作ACL,使网段192.168.1.0不能访问路由器2,只有pc0可以访问router2的telnet服务
在router上进行ACL设置
Router>
Router>enable
Router#conf
Router(config)#ip access-list standard stand
Router(config-std-nacl)#deny 192.168.1.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#int s2/0
Router(config-if)#ip access-group stand in
Router(config-if)#exit
Router(config)#ip access-list standard class
Router(config-std-nacl)#permit 192.168.5.2
Router(config-std-nacl)#line vty 0 4
Router(config-line)#access-class stand in
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#
扩展命名ACL按照扩展ACL的要求
要求: 192.168.1.0 网段不能访问192.168.4.2的www服务器
192.168.5.0 网段不能ping通192.168.4.0网段。
在Router1上配置如下
Router>enable
Router#s
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
Router#show access-list
Router#conf
Router(config)#ip access-list extended extend
Router(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 host 192.168.4.2 eq www
Router(config-ext-nacl)#deny icmp 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#int s2/0
Router(config-if)#ip access-group extend in
Router(config-if)#exit
Router(config)#