CCNA配置试验之六 标准ACL和扩展ACL的配置

访问控制列表分为标准访问控制列表和扩展访问控制列表：<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

标准ACL

检查源地址

通常允许、拒绝的是完整的协议

扩展ACL

检查源地址和目的地址

通常允许、拒绝的是某个特定的协议

今天我们来配置这两种访问控制列表：

标准访问控制列表

试验要求：利用标准访问控制列表

禁止192.168.2.1 ping 192.168.4.2

其他主机都允许对192.168.4.2做ping操作

试验步骤：

一．按照试验拓扑图，给各接口分配IP，并在路由器间配置eigrp协议，配置eigrp协议请参看CCNA配置试验之三 EIGRP协议的配置

二．设置标准访问控制列表

r4(config)#access-list 1 deny host 192.168.2.1

r4(config)#access-list 1 permit <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.0 255.255.255.255

r4(config)#int s0/2

r4(config-if)#ip access-group 1 in

ok标准ACL配置完成。

接下来我们来验证

r1#ping 192.168.4.2

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:

U.U.U

 

 

r2#ping 192.168.4.2

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 432/577/664 ms

 

r3#ping 192.168.4.2

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 72/219/448 ms

验证结果表明：R1 ping 不通192.168.4.2.而R2 R3能ping通192.168.4.2

试验成功！

 

扩展访问控制列表

试验要求：

拒绝192.168.4.2  ping  192.168.2.1

禁止192.168.3.2 telnet 192.168.2.1

其他访问都允许。

下面开始配置试验：

R1

Router>en

Router#conf t

Enter configuration commands, .e per line.  End with CNTL/Z.

Router(config)#host r1

enable password cisco                     定义特权口令

r1(config)#line vty 0 4                 定义telnet口令

r1(config-line)#password ccna

r1(config-line)#login

r1(config-line)#exit

r1(config)#int s0/0                        给接口分配ip

r1(config-if)#ip addr 192.168.2.1 255.255.255.0

r1(config-if)#no shut

r1(config-if)#exit

r1(config)#router eigrp 100             配置eigrp路由协议

r1(config-router)#network 192.168.2.0

 

R2

Router>en

Router#conf t

Enter configuration commands, .e per line.  End with CNTL/Z.

Router(config)#host r2

r2(config)#enable password cisco

r2(config)#line vty 0 4

r2(config-line)#password ccna

r2(config-line)#login

r2(config-line)#exit

r2(config)#int s0/0

r2(config-if)#ip addr 192.168.2.2 255.255.255.0

r2(config-if)#no shut

r2(config-if)#exit

r2(config)#int s0/1

r2(config-if)#ip addr 192.168.3.1 255.255.255.0

r2(config-if)#no shut

r2(config-if)#exit

r2(config)#router eigrp 100

r2(config-router)#network 192.168.2.0

r2(config-router)#network 192.168.3.0

r2(config-router)#exit

 

R3

Router>en

Router#conf t

Enter configuration commands, .e per line.  End with CNTL/Z.

Router(config)#host r3

r3(config)#enable password cisco

r3(config)#line vty 0 4

r3(config-line)#password ccna

r3(config-line)#login

r3(config-line)#exit

r3(config)#int s0/1

r3(config-if)#ip addr 192.168.3.2 255.255.255.0

r3(config-if)#no shut

r3(config-if)#exit

r3(config)#int s0/2

r3(config-if)#ip addr 192.168.4.1 255.255.255.0

r3(config-if)#no shut

r3(config-if)#exit

r3(config-router)#network 192.168.3.0

r3(config-router)#network 192.168.4.0

r3(config-router)#exit

 

R4

Router>en

Router#conf t

Enter configuration commands, .e per line.  End with CNTL/Z.

Router(config)#host r4

r4(config)#enable password cisco

r4(config)#line vty 0 4

r4(config-line)#password ccna

r4(config-line)#login

r4(config-line)#exit

r4(config)int s0/2

r4(config)ip addr 192.168.4.2 255.255.255.0

r4(config-if)#no shut

r4(config-if)#exit

r4(config)#router eigrp 100

r4(config-router)#network 192.168.4.0

基本配置完成！

 

下面配置扩展 ACL 。

r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo

r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo-reply

r2(config)#access-list 100 deny tcp 192.168.3.2 0.0.0.0 192.168.2.1 0.0.0.0 eq 23

r2(config)#access-list 100 permit ip any any

r2(config)#int s0/0

r2(config-if)#ip access-group 100 out

 

配置完成！

 

验证

r4#ping 192.168.2.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

r4#telnet 192.168.2.1

Trying 192.168.2.1 ... Open

 

User Access Verification

 

Password:

r1>

R4 不能 ping 通 R1 ，但是能 telnet 上 R1

r3#ping 192.168.2.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 284/369/436 ms

 

r3#telnet 192.168.2.1

Trying 192.168.2.1 ...

% Destination unreachable; gateway or host down

R3 能 ping 通 R1 但是却 telnet 不上 R1

 

O 了，试验成功！

 

转载于:https://blog.51cto.com/fanlinlin/133222