环境:
![](https://img-blog.csdnimg.cn/img_convert/36d4f35ef90cd61d134ce6850344f81e.png)
1. 全局互通
2.阻止1.1访问2.1ftp服务
3.阻止3.1访问2.2www 网站访问
在r2路由器上全局模式下
access-list 100 deny tcp host 192.168.1.1 host 192.168.2.1 eq ftp
![](https://img-blog.csdnimg.cn/img_convert/9e8b622c46fba78bce679ae7d35b2fee.png)
100-199都可以 deny是拒绝 主机 1.1 访问 2.1 的 ftp服务
然后写3.1不能访问2.2的网站
access-list 100 deny tcp host 192.168.3.1 host 192.168.2.2 eq www
![](https://img-blog.csdnimg.cn/img_convert/2f446df1482e503d146fa4b5b4ad256f.png)
拒绝主机 3.1 访问 2.2 的 www服务也就是网站服务(web)
access-list 100 permit ip any any
让后写个允许,前两个拒绝,后面没写拒绝的都允许
去特权模式使用
show access-lists
![](https://img-blog.csdnimg.cn/img_convert/8a2e8d021878f3981a7ac69a3cfd2fbc.png)
可以看到配置过的控制列表
或者直接查看指定的访控表
show access-lists 100
![](https://img-blog.csdnimg.cn/img_convert/4d36f7ca54377f15f0e946eac7f8e2ae.png)
可以看到配置
在r2
![](https://img-blog.csdnimg.cn/img_convert/75039316862f2613fb18647ab47298bd.png)
interface fastEthernet 0/0
进入0/0接口
![](https://img-blog.csdnimg.cn/img_convert/8437a23126171f600cb1c2333a45adc0.png)
ip access-group 100 out
![](https://img-blog.csdnimg.cn/img_convert/00d40387255c3a770ee72c61b9b3e740.png)
此外可以放到r1 的 f0/0 in
f0/1 out
![](https://img-blog.csdnimg.cn/img_convert/c839dac048741e6d8af240bb0b346d73.png)
r3的f0/0 in
f0/1 out