![](https://i-blog.csdnimg.cn/blog_migrate/c84f1155669b7da5e943d596c5ee6c1f.jpeg)
应用场景描述:<?xml:namespace prefix = o />
随着公司网络建设的开展,对网络的安全性也要求越来越高,因此需要在路由器上应用访问控制列表进行控制.
实验使用命令:
1:access-list 1-99 permit/deny 源地址 反码
2:access-list 100-199 permit/deny protocol 源地址 反码 目的地址 反码 关键字(http,ftp,telnet,www,dom eq21,23,25,53 69,80)
3. access-list 1-199 permit/deny any( protocol any any)
4:ip access-group 1<?xml:namespace prefix = st1 />-199 in/out
5. sh access-list
6. sh ip int 接口号
7. ip access-list standard/extended name
8. 要取消访问控制列表时应先取消接口的应用
No ip access-group 1-199 in/out
No access-list 1-199 permit/deny ………
实验步骤:
r1的配置:
ena
conf t
hostname r1
int e0/0
ip add 12.12.12.12 255.255.255.0
no sh
exit
int loop 0
ip add 192.168.1.1 255.255.255.0
exit
router ospf 1
net 192.168.1.0 0.0.0.255 area 1
net 12.12.12.0 0.0.0.255 area 1
***************************************
r2的配置:
ena
conf t
hostname r2
int e0/0
ip add 12.12.12.21 255.255.255.0
no sh
exit
int e0/1
ip add 23.23.23.23 255.255.255.0
no sh
exit
int loo 0
ip add 192.168.2.1 255.255.255.0
exit
router ospf 1
net 192.168.2.0 0.0.0.255 area 1
net 12.12.12.0 0.0.0.255 area 1
net 23.23.23.0 0.0.0.255 area 1
exit
R3的配置:
ena
conf t
hostname r3
int e0/0
ip add 23.23.23.32 255.255.255.0
no sh
exit
int loop 0
ip add 192.168.3.1 255.255.255.0
exit
int e0/1
ip add 159.226.139.150 255.255.255.0
no sh
exit
router ospf 1
net 192.168.3.0 0.0.0.255 area 1
net 23.23.23.0 0.0.0.255 area 1
1,标准ACL
要求:站点1内的机器192.168.1.1可以访问外网,而机器192.168.1.2却是被拒绝的
思考:应该在哪一个路由器上实现,应该如何写acl,应该把acl应用到路由器的哪一个接口,为什么?
r3
ena
conf t
access-list 1 deny 192.168.1.2 host
access-list 1 permit any
int e0/0
ip access-group 1 in
测试手段:结合扩展ping作相应测试
***********************************************************
2,扩展acl
要求:网络管理员能够在外网通过telnet 的方式管理内部的设备,外网用户不能访问内网的http服务,
为了防止外网用探测内部主机和dos***,还需要拒绝外网的用户ping 内部机器
思考:应该在哪一个路由器上实现,应该如何写acl,应该把acl应用到路由器的哪一个接口,为什么?
R3
access-list 110 deny tcp any 192.168.0.0 0.0.255.255 eq 80
access-list 110 deny tcp any 12.0.0.0 0.255.255.255 eq 80
access-list 110 deny tcp any 23.0.0.0 0.255.255.255 eq 80
access-list 110 deny icmp any 192.168.0.0 0.0.255.255 echo
access-list 110 deny icmp any 12.0.0.0 0.255.255.255 echo
access-list 110 deny icmp any 23.0.0.0 0.255.255.255 echo
access-list 110 permit ip any any
int e0/1
ip access-group 110 in
exit
*****************************************
转载于:https://blog.51cto.com/jasonyuan/84710