实验
访问控制列表的配置
先是拓扑图
有两部分组成:
第一:标准访问控制列表配置
第二:扩展访问控制列表配置
在实验之前,大家有必要了解一下二者的区别,标准访问控制列表它只是对源
ip地址进行限制并且它的数字表号是1-99,而扩展访问控制列表时源ip地址,目的ip地址,还有源端口和目的端口进行限制,用的空间更大。它的表号是100-199.
第一:标准访问控制列表配置
实验要求
(1)允许网段10.10.1.0/24访问各个路由器的内部网段
(2)不允许网段10.10.2.0/24访问各个路由器的内部网段
实验步骤:
(1)准备工作:先配完ip地址使各个网段能够通信。 在此过程中,需要有一点注意,可以在两个路由器上配默认路由,或者配静态,使所有的网段通信。
(2)先进行标准访问控制列表的配置
在全局模式下
access-list 1 deny 10.10.2.0 0.0.0.255
access-list 1 permit 10.10.1.0 0.0.0.255
access-list 1 permit any
然后,进入接口模式
ip access-group 1 out
在本实验中,可以在任一个路由器上来配置
如果在R1配置,进入f1/0接口
ip access-group 1 out
如果在R2配置,进入f0/0接口
ip access-group 1 in
到此就可以实现上述实验的要求
第一:扩展访问控制列表配置
实验要求
1.允许10.10.1.0的网段访问172.16.1.10上的www服务
2.不允许10.10.2.0的网段访问172.16.1.10上的www服务
3.允许10.10.1.0的网段telnet路由器R2
4.不允许10.10.2.0的网段telnet路由器R2
5.允许所有设备互相ping通
配置步骤
access-list 101 deny tcp 10.10.2.0 0.0.0.255 host 172.16.1.10 eq 80
access-list 101 deny tcp 10.10.2.0 0.0.0.255 host 192.168.1.1 eq 23
access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.10 eq 80
access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 192.168.1.1 eq  23
access-list 101 permit icmp any any echo
access-list 101 permit ip any any
在路由器R2上,进入f0/0接口
ip access-group 101 in
最后
查看ACL列表
show ip interface f0/0
show access-list