扩展访问控制列表
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
拓扑
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
实例(
1
)
在
R1
上做访问控制列表,拒绝
192.168.1.0
网段
PING
通
192.168.2.2
,其它允许。
r1(config)#access-list 101 deny icmp 192.168.1.0 <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.255 host 192.168.2.2
r1(config)#access-list 101 permit icmp any any
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip access-group 101 in
--
也可在以下端口使用绑定
r1(config)#interface s 0/0
r1(config-if)#ip access-group 101 out
实例(2)
在
R2
上做访问控制列表,拒绝
192.168.1.2 PING
通
192.168.2.2
,其它允许。
r2(config)#access-list 101 deny icmp host 192.168.1.2 host 192.168.2.2
r2(config)#access-list 101 permit icmp any any
r2(config)#interface serial 0/0
r2(config-if)#ip access-group 101 out
在
R2
上做访问控制列表,拒绝
192.168.2.2 PING
通
192.168.3.2
,其它允许。
r2(config)#access-list 101 deny icmp host 192.168.2.2 host 192.168.3.2
r2(config)#access-list 101 permit icmp any any
r2(config)#interface fastEthernet 0/0
r2(config-if)#ip access-group 101 in
实例(3)
在
R3
上做访问控制列表,拒绝
192.168.3.2 PING
通
192.168.2.2
,其它允许。
r3(config)#access-list 101 deny icmp host 192.168.3.2 host 192.168.2.2
r3(config)#access-list 101 permit icmp any any
r3(config)#interface serial 0/0
r3(config)#interface fastEthernet 0/0
r3(config-if)#ip access-group 101 in
--------------------------------------------------------------------
实例(
4
)
在
R2
上拒绝
192.168.1.2 PING
通
192.168.3.2
,其它允许
r2(config)#access-list 101 deny icmp host 192.168.1.2 host 192.168.3.2
r2(config)#access-list 101 permit icmp any any
r2(config)#interface serial 0/0
r2(config-if)#ip access-group 101 out
如果想理解IN和OUT的摆放位置,哪须要做和看懂以上实例
实例(5)
在R1上做访问控制列表,拒绝192.168.1.2 TELNET 192.168.3.1,其它允许
r1(config)#access-list 101 deny tcp host 192.168.1.2 host 192.168.3.1 eq 23
r1(config)#access-list 101 permit tcp any any
r1(config)#interface serial 0/0
r1(config-if)#ip access-group 101 out
实例(6)
第一条拒绝192.168.1.2访问192.168.3.3上的WWW服务。第二条拒绝192.168.3.2访问192.168.1.3上的WWW服务。第三条拒绝192.168.1.0网段访问192.168.3.0网段。拒绝192.168.1.4TELNET 192.168.2.1
r2(config)#access-list 101 deny tcp host 192.168.1.2 host 192.168.3.3 eq www
r2(config)#access-list 101 deny tcp host 192.168.3.2 host 192.168.1.3 eq www
r2(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
r2(config)#access-list 101 deny tcp host 192.168.1.4 host 192.168.2.1 eq 23
r2(config)#access-list 101 permit tcp any any
r2(config)#access-list 101 permit icmp any any
r2(config)#interface serial 0/0
r2(config-if)#ip access-group 101 out
r2(config)#interface serial 0/1
r2(config-if)#ip access-group 101 out
实例(7)
拒绝TELNET 到路由器192.168.1.1
r1(config)#access-list 101 deny tcp any host 192.168.1.1 eq telnet
r1(config)#access-list 101 permit tcp any any
r1(config)#interface serial 0/0
r1(config-if)#ip access-group 101 in
转载于:https://blog.51cto.com/hjtyqs/365497