思科ACL配置与扩展

思科ACL配置与扩展

一.实验目的

(1).掌握基本ACL

(2).掌握扩展ACL

(3).学会如何应用ACL

二.实验器材:

三台路由器,三台PC,两台服务器,若干线缆

三.实验拓扑图


思科ACL配置与扩展_第1张图片

四.实验内容

1.在基本访问控制列表中让10.0.2.1不能访问服务器,其他电脑可以访问服务器

命令如下:

在ROUTER1中

R2(config)#access-list1 deny 10.0.2.1

R2(config)#access-list1 permit any

R2(config)#interfaces1/1

R2(config-if)#ipaccess-group 1 in

2.在扩展访问控制列表中

(1).拒绝10.0.2.1 访问web服务器,允许其他网络访问web服务器

命令如下:

R2(config)#access-list 100 deny ip host10.0.2.0 host  20.0.0.1

R2(config)#access-list 100 permit ip anyany

R2(config)#interface s1/1

R2(config-if)#ip access-group 100 in

(2).拒绝10.0.2.0/24访问web服务器内页,其他网络都能访问。仅仅限制网页访问

命令如下:

R2(config)#access-list 101 deny tcp10.0.2.0 0.0.0.255 host 20.0.0.1 eq 80

R2(config)#access-list 101 permit ip anyany

R2(config)#int s1/1

R2(config-if)#ip access-group 101 in

3.ROUTER1启动Telnet,只允许50.0.0.0/24网络远程登录

命令如下:

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 30.0.0.2 eq telnet

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 40.0.0.1 eq telnet

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 20.0.0.254 eq telnet

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 60.0.0.254 eq telnet

R2(config)#access-list 102 deny tcp anyhost 30.0.0.2 eq telnet

R2(config)#access-list 102 deny tcp anyhost 20.0.0.254 eq telnet

R2(config)#access-list 102 deny tcp anyhost 60.0.0.254 eq telnet

R2(config)#access-list 102 deny tcp anyhost 40.0.0.1 eq telnet

R2(config)#int s1/1

R2(config-if)#ip access-group 102 in

注意:

标准ACL不能指定目的地址,所以需要把标准的ACL 放置在尽量靠近目标的地方

尽量将扩展ACL放置在靠近被被拒绝的数据源

你可能感兴趣的:(思科ACL配置与扩展)