配置扩展ACL
问题
在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。
1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。
方案
为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
网络拓扑如图所示:
步骤
实现此案例需要按照如下步骤进行。
步骤一:将1配置标准ACL中的标准访问控制列表移除,其他配置保留
tarena-R2(config)#interface f0/1
tarena-R2(config-if)#no ip access-group 1 out
tarena-R2(config)#no access-list 1
步骤二:在PC1和PC2上验证到Web Server的HTTP协议访问。