第一部分:扩展ACL
拓扑图
地址表
Device |
Interface |
IP address |
R1 |
F 0/0 |
172.16.19.1 |
F 0/1 |
10.3.19.1 |
|
S 0/0/1 |
10.1.19.1 |
|
R2 |
S 0/0/1 |
10.1.19.2 |
S 0/0/0 |
10.2.19.2 |
|
R3 |
F 0/0 |
192.168.19.3 |
S 0/0/0 |
10.2.19.3 |
|
PC-1 |
NIC |
172.16.19.100 |
Default Gateway |
172.16.19.1 |
|
PC-2 |
NIC |
10.3.19.100 |
Default Gateway |
10.3.19.1 |
|
Server1 |
NIC |
192.168.19.100 |
Default Gateway |
192.168.19.3 |
配置扩展ACL前先把地址分配端口,网络连通,然后配置静态路由。
R1(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.2
R1(config)#ip route 10.2.19.0 255.255.255.0 10.1.19.2
R1(config)#ip route 192.168.19.0 255.255.255.0 10.1.19.2
R2(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.1
R2(config)#ip route 10.3.19.0 255.255.255.0 10.1.19.1
R2(config)#ip route 192.168.19.0 255.255.255.0 10.2.19.3
R3(config)#ip route 10.1.19.0 255.255.255.0 10.2.19.2
R3(config)#ip route 172.16.19.0 255.255.255.0 10.2.19.2
R3(config)#ip route 10.3.19.0 255.255.255.0 10.2.19.2
R1#show ip route 查看路由表:
试从PC-1 ping 到Server1,查看测试结果:
静态路由配置完成,开始完成扩展ACL实验。
要求:
? 拒绝PC1 所在网段访问Server 192.168.19.100 的Web 服务
? 拒绝PC2 所在网段访问Server 192.168.19.100 的Ftp 服务
? 拒绝PC1 所在网段访问Server 192.168.19.100 的SQL 服务
? 拒绝PC1 所在网段访问路由器R3 的Telnet 服务
? 拒绝PC2 所在网段访问路由器R2 的Web 服务
? 拒绝PC1 和PC2 所在网段ping Server 服务器
? 只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址,而不允许路
由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址,即单向ping.
实验步骤:
(一)配置路由器
R1(config)#access-list 110 remark this is an example for extended acl
R1(config)#access-list 110 deny tcp 172.16.19.0 0.0.0.255 host 192.168.19.100 eq 80
R1(config)#access-list 110 deny tcp 10.3.19.0 0.0.0.255 host 192.168.19.100 eq 21
R1(config)#access-list 110 deny tcp 10.3.19.0 0.0.0.255 host 192.168.19.100 eq 20
R1(config)#access-list 110 deny tcp 172.16.19.0 0.0