扩展ACL实例操作需求1:PC2不能够ping通PC1,但可以ping通PC0需求2:PC2不能够ping通R1.但是可以telnet需求3 :PC2不能够访问www服务器的http服务保证全网ping通a)配置PC0/PC1/PC2/服务器的IP地址b)配置路由端口IP R0:Router(config)#hostnameR0R0(config)#intf0/1R0(config-if)#ip address192.168.1.1255.255.255.0R0(config-if)#noshutdownR0(con fig)#intf0/0R0(config-if)#ipaddress12.1.1.1255.255.255.0R0(co nfig-if)#noshutdownR1:Router(config)#hostnameR1R1(config)#int f0/1R1(config-if)#ipaddress12.1.1.2255.255.255.0R1(config-if )#noshutdownR1(config)#intf0/0R1(config-if)#ipaddress192.16 8.2.1255.255.255.0R1(config-if)#noshutdownR1(config)#inte1/0R 1(config-if)#ipaddress10.1.1.1255.255.255.0R1(config-if)#nos hutdownc)配置OSPF动态路由协议R0(config)#routerospf10R0(config-router)# router-id1.1.1.1R0(config-router)#network192.168.1.00.0.0.255 area0R0(config-router)#network12.1.1.0255.255.255.0area0R1(c onfig)#routerospf10R1(config-router)#router-id2.2.2.2R1(config -router)#network12.1.1.00.0.0.255area0R1(config-router)#netwo rk192.168.2.00.0.0.255area0验证:PC2可以ping通PC0/PC1/服务器2.创建扩展ACL: R1(config)#access-list100denyicmp192.168.2.100.0.0.0(源IP)ho st192.168.1.10(目的IP)R1(config)#access-list100permiticmphost 192.168.2.10host192.168.1.113.调用ACL:尽可能接近源,1个接口只能调用1个ACL!!!R1 (config)#intf0/1R1(config-if)#ipaccess-group100out4.验证:PC2pi ngPC0通,PC2pingPC1不通。完成需求1。5.创建vty会话:R1(config)#linevty04R1( config-line)#passwordtelnetR1(config-line)#login6.创建ACL:R1(confi g)#access-list101denyicmphost192.168.2.10host192.168.2.1R1 (config)#access-list101permitipanyany附:可以ping通,不可以telnetacce ss-list101denytcphost192.168.2.10host192.168.2.1eqtelnet access-list101permitipanyany说明:R1(config)#access-list101de nytcphost192.168.2.10host192.168.2.1eq23(作用:拒绝tcp流量192.16 8.2.10去往192.168.2.1,同时满足端口号=23,(Telnet))7.调用ACL:R1(config)#intf0 /0R1(config-if)#ipaccess-group101in完成需求2:PC2不能够ping通R1.但是可以tel net8.创建ACL:access-list103denytcphost192.168.2.10host10.1.1 .10eqwwwaccess-list103permitipanyany9.调用ACLR1(config)#inte1/0R1(config-if)#ipaccess-group103out完成需求3:PC2不能够访问www服务器的http服务 |
|