扩展ACL实例操作需求1:PC2不能够ping通PC1,但可以ping通PC0需求2:PC2不能够ping通R1.但是可以telnet需求3
:PC2不能够访问www服务器的http服务保证全网ping通a)配置PC0/PC1/PC2/服务器的IP地址b)配置路由端口IP
R0:Router(config)#hostnameR0R0(config)#intf0/1R0(config-if)#ip
address192.168.1.1255.255.255.0R0(config-if)#noshutdownR0(con
fig)#intf0/0R0(config-if)#ipaddress12.1.1.1255.255.255.0R0(co
nfig-if)#noshutdownR1:Router(config)#hostnameR1R1(config)#int
f0/1R1(config-if)#ipaddress12.1.1.2255.255.255.0R1(config-if
)#noshutdownR1(config)#intf0/0R1(config-if)#ipaddress192.16
8.2.1255.255.255.0R1(config-if)#noshutdownR1(config)#inte1/0R
1(config-if)#ipaddress10.1.1.1255.255.255.0R1(config-if)#nos
hutdownc)配置OSPF动态路由协议R0(config)#routerospf10R0(config-router)#
router-id1.1.1.1R0(config-router)#network192.168.1.00.0.0.255
area0R0(config-router)#network12.1.1.0255.255.255.0area0R1(c
onfig)#routerospf10R1(config-router)#router-id2.2.2.2R1(config
-router)#network12.1.1.00.0.0.255area0R1(config-router)#netwo
rk192.168.2.00.0.0.255area0验证:PC2可以ping通PC0/PC1/服务器2.创建扩展ACL:
R1(config)#access-list100denyicmp192.168.2.100.0.0.0(源IP)ho
st192.168.1.10(目的IP)R1(config)#access-list100permiticmphost
192.168.2.10host192.168.1.113.调用ACL:尽可能接近源,1个接口只能调用1个ACL!!!R1
(config)#intf0/1R1(config-if)#ipaccess-group100out4.验证:PC2pi
ngPC0通,PC2pingPC1不通。完成需求1。5.创建vty会话:R1(config)#linevty04R1(
config-line)#passwordtelnetR1(config-line)#login6.创建ACL:R1(confi
g)#access-list101denyicmphost192.168.2.10host192.168.2.1R1
(config)#access-list101permitipanyany附:可以ping通,不可以telnetacce
ss-list101denytcphost192.168.2.10host192.168.2.1eqtelnet
access-list101permitipanyany说明:R1(config)#access-list101de
nytcphost192.168.2.10host192.168.2.1eq23(作用:拒绝tcp流量192.16
8.2.10去往192.168.2.1,同时满足端口号=23,(Telnet))7.调用ACL:R1(config)#intf0
/0R1(config-if)#ipaccess-group101in完成需求2:PC2不能够ping通R1.但是可以tel
net8.创建ACL:access-list103denytcphost192.168.2.10host10.1.1
.10eqwwwaccess-list103permitipanyany9.调用ACLR1(config)#inte1/0R1(config-if)#ipaccess-group103out完成需求3:PC2不能够访问www服务器的http服务 |
|
