扩展ACL配置
1、 实验目的:
通过本次实验,我们可以掌握如下技能
1) 定义扩展ACL
2) 应用扩展ACL
3) 扩展ACL的调试
2、 实验拓扑图:
本实验的要求:
本实验只允许PC2所在的网段的主机访问路由器R2的www和telnet服务,并拒绝pc3所在网段ping路由器R2、
3、 实验步骤:
(1) 配置各个路由器接口地址,和标准ACL一样,这样不在对介绍了。可以访问:http://lorna8023.blog.51cto.com/777608/241092
(2) 启用EIGRP路由协议,具体步骤如下:
R1(config)#ro
R1(config)#router e
R1(config)#router eigrp 1
R1(config-router)#net
R1(config-router)#network 10.1.1.0 0.0.0.255
R1(config-router)#net
R1(config-router)#network 172.16.1.0 0.0.0.255
R1(config-router)#ne
R1(config-router)#network 192.168.12.0
R1(config-router)#no au
R1(config-router)#no auto-summary
R1(config-router)#
R2(config)#router e
R2(config)#router eigrp 1
R2(config-router)#ne
R2(config-router)#network 192.168.12.0
R2(config-router)#
R2(config-router)#net
R2(config-router)#network 192.168.23.0
R2(config-router)#no a
R2(config-router)#no auto-summary
R2(config-router)#
R3(config)#router ei
R3(config)#router eigrp 1
R3(config-router)#net
R3(config-router)#network 192.168.23.0
R3(config-router)#
R3(config-router)#net
R3(config-router)#network 172.16.3.0 0.0.0.255
R3(config-router)#no a
R3(config-router)#no auto-summary
R3(config-router)#
(3) 配置ACL,具体配置步骤如下:
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telneet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet
R1(config)#exit
R1(config)#interface serial 2/0
R1(config-if)#ip ac
R1(config-if)#ip access-group 100 in
R1(config-if)#
R2(config)#no access-list 1
R2(config)#no access-list 2
R2(config)#ip http server
R2(config)#line
R2(config)#line vty 0 4
R2(config-line)#pass
R2(config-line)#password cisco
R2(config-line)#logi
R2(config-line)#login
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log
R3(config)#access-list 101 permit ip any any
R3(config)#interface serial 3/0
R3(config-if)#ip access-group 101 in
R3(config-if)#
(4) 实验测试
R1#show ip access-lists
Extended IP access list 100
permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www
permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www
permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet
R1#