标准acl与拓展acl
拓扑图:
要求:
1、 配置静态路由,使得PC能访问两个服务器
2、 标准ACL,不允许PC1访问任意R1以外的网络(PC1只允许访问R1);不允许PC2访问17.1.1.0内的所有主机(PC2不允许访问17.1.1.0这个网段)
3、 清除所有标准ACL(把2的标准ACL清除掉)
4、 拓展ACL,不允许PC1访问61.1.1.3的http(只是禁止一个协议);不允许PC2访问17.1.1.1的https(只是禁止一个协议)
命令解答:
交换机S1配置:
en
conf t
h S1
int f0/3
sw mo tr
路由器R1配置:
en
conf t
h R1
int f0/0
ip add 172.16.1.254 255.255.255.0
no shut
int f0/1
ip add 61.1.1.1 255.255.255.0
no shut
路由器R2配置:
en
conf t
h R2
int f0/0
ip add 17.1.1.254 255.255.255.0
no shut
int f0/1
ip add 61.1.1.2 255.255.255.0
no shut
要求1、
R1配置:
ip route 17.1.1.0 255.255.255.0 f0/1
R2配置:
ip route 172.16.1.0 255.255.255.0 f0/1
要求2、
R1配置:
access-list 1 deny host 172.16.1.1 //配置标准ACL,拒绝主机号
access-list 1 permit any //允许其他网段
int f0/0
ip access-group 1 in
R2配置:
access-list 1 deny host 172.16.1.2
access-list 1 permit any
int f0/1
ip access-group 1 in
要求3、
R1配置:
no access-list 1 //清楚所有acl
access-list 101 deny tcp host 172.16.1.1 host 61.1.1.3 eq 80 //配置拓展ACL,禁止访问http
access-list 101 deny tcp host 172.16.1.2 host 17.1.1.1 eq 443 //禁止访问https
access-list 101 permit ip any any
int f0/1
ip access-group 101 out
R2配置:
no access-list 1
PC1可以访问17.1.1.1的80端口,因为拓展ACL没有禁止
PC2可以访问61.1.1.3的443端口,因为拓展ACL没有禁止