上一篇文章ACL(访问控制列表)(一) 讲解了标准访问控制列表的配置
这次将通过一个实例来完成 扩展访问控制列表
某单位网络的拓扑结构示意图如图所示。网络采用RIP协议。
要求使用访问控制列表禁止网络192.168.20.0/24上的主机访问网络192.168.10.0/24。
使用访问控制列表禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务,但允许访 问其他服务器。
Router1>en
Router1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#int f0/0
Router1(config-if)#ip add 10.10.10.254 255.255.255.0
Router1(config-if)#no shut
Router1(config-if)#ex
Router1(config)#int s3/0
Router1(config-if)#ip add 192.168.2.1 255.255.255.0
Router1(config-if)#no shut
%LINK-5-CHANGED: Interface Serial3/0, changed state to down
Router1(config-if)#ex
Router1(config)#int s2/0
Router1(config-if)#ip add 192.168.1.1 255.255.255.0
Router1(config-if)#no shut
%LINK-5-CHANGED: Interface Serial2/0, changed state to down
Router1(config-if)#ex
Router1(config)#
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#int s2/0
Router2(config-if)#ip add 192.168.1.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
Router2(config-if)#ex
Router2(config)#int f0/0
Router2(config-if)#ip add 192.168.10.254 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router2(config-if)#ex
Router2(config)#
Router2(config)#int s3/0
Router2(config-if)#ip add 192.168.3.1 255.255.255.0
Router2(config-if)#no shut
%LINK-5-CHANGED: Interface Serial3/0, changed state to down
Router2(config-if)#ex
Router2(config)#ex
Router2#
%SYS-5-CONFIG_I: Configured from console by console
Router3>en
Router3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router3(config)#int f0/0
Router3(config-if)#ip add 192.168.20.254 255.255.255.0
Router3(config-if)#no shut
Router3(config-if)#ex
Router3(config)#int s3/0
Router3(config-if)#ip add 192.168.3.2 255.255.255.0
Router3(config-if)#no shut
Router3(config-if)#ex
Router3(config)#int s2/0
Router3(config-if)#ip add 192.168.2.2 255.255.255.0
Router3(config-if)#
Router3(config-if)#no shut
Router3(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
Router3(config-if)#ex
Router3(config)#ex
Router3#
%SYS-5-CONFIG_I: Configured from console by console
Router1>en
Router1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#router rip
Router1(config-router)#network 192.168.10.0
Router1(config-router)#network 192.168.20.0
Router1(config-router)#network 192.168.1.0
Router1(config-router)#network 192.168.2.0
Router1(config-router)#network 192.168.3.0
Router1(config-router)#network 10.10.10.0
Router1(config-router)#version 2
Router1(config-router)#no auto-summary
Router1(config-router)#ex
Router1(config)#ex
Router1#
%SYS-5-CONFIG_I: Configured from console by console
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#router rip
Router2(config-router)#network 192.168.10.0
Router2(config-router)#network 192.168.20.0
Router2(config-router)#network 10.10.10.0
Router2(config-router)#network 192.168.1.0
Router2(config-router)#network 192.168.2.0
Router2(config-router)#network 192.168.3.0
Router2(config-router)#version 2
Router2(config-router)#no auto-summary
Router2(config-router)#ex
Router2(config)#ex
Router2#
%SYS-5-CONFIG_I: Configured from console by console
Router2#ex
Router3>
Router3>en
Router3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router3(config)#router rip
Router3(config-router)#network 192.168.10.0
Router3(config-router)#network 192.168.20.0
Router3(config-router)#network 10.10.10.0
Router3(config-router)#network 192.168.1.0
Router3(config-router)#network 192.168.2.0
Router3(config-router)#network 192.168.3.0
Router3(config-router)#version 2
Router3(config-router)#no auto-summary
Router3(config-router)#ex
Router3(config)#ex
Router3#
%SYS-5-CONFIG_I: Configured from console by console
使用ping命令验证网络是否连通
这一步在上一篇文章中讲过,就不在详细的说了
经过以上步骤,各个机器应都可以ping 通
1.使用访问控制列表禁止网络192.168.20.0/24上的主机访问网络192.168.10.0/24。
路由器R2的Fa0/0口的out方向上进行配置
路由器R2上定义标准访问控制列表:
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#access-list 50 deny 192.168.20.0 0.0.0.255
Router2(config)#access-list 50 permit any
Router2(config)#int f0/0
Router2(config-if)#ip access-group 50 out
Router2(config-if)#ex
Router2(config)#ex
Router2#
%SYS-5-CONFIG_I: Configured from console by console
ex
2.使用访问控制列表禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务,但允许访问其他服务器。
分析:这里使用扩展访问控制列表实现。
扩展访问控制列表可以对数据包的源地址、目的地址、协议或接口号进行检查。扩展访问控制列表要应用到靠近源网络的位置,以便在出口处进行检查。
所以在路由器R3的Fa0/0口的in方向上进行配置
路由器R3上定义扩展访问控制列表:
Router3>
Router3>en
Router3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router3(config)#access-list 110 deny tcp 192.168.20.0 0.0.0.255 10.10.10.0 0.0.0.255 eq 80
Router3(config)#access-list 110 permit ip any any
Router3(config)#int f0/0
Router3(config-if)#ip access-group 110 in
Router3(config-if)#ex
Router3(config)#ex
Router3#
%SYS-5-CONFIG_I: Configured from console by console
ex
注意:上述两条语句次序不可以调整。一旦调整,则所有的IP数据包都可以通过了,起不到【禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务】的作用。
在PC2上访问10.10.10.2 不会出现任何信息或者重新**Request Timeout **说明已经达到 “禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务 ” 的目的