CISCO 配置实验 --扩展访问控制列表

扩展访问控制列表 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

拓扑

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

实例（ 1 ）

在 R1 上做访问控制列表，拒绝 192.168.1.0 网段 PING 通 192.168.2.2 ，其它允许。

r1(config)#access-list 101 deny icmp 192.168.1.0 <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.255 host 192.168.2.2

r1(config)#access-list 101 permit icmp any any

r1(config)#interface fastEthernet 0/0

r1(config-if)#ip access-group 101 in

-- 也可在以下端口使用绑定

r1(config)#interface s 0/0

r1(config-if)#ip access-group 101 out

 

实例（2）

在 R2 上做访问控制列表，拒绝 192.168.1.2 PING 通 192.168.2.2 ，其它允许。

r2(config)#access-list 101 deny icmp host 192.168.1.2 host 192.168.2.2

r2(config)#access-list 101 permit icmp any any

r2(config)#interface serial 0/0

r2(config-if)#ip access-group 101 out

 

在 R2 上做访问控制列表，拒绝 192.168.2.2 PING 通 192.168.3.2 ，其它允许。

r2(config)#access-list 101 deny icmp host 192.168.2.2 host 192.168.3.2

r2(config)#access-list 101 permit icmp any any

r2(config)#interface fastEthernet 0/0

r2(config-if)#ip access-group 101 in

 

实例（3）

在 R3 上做访问控制列表，拒绝 192.168.3.2 PING 通 192.168.2.2 ，其它允许。

 

r3(config)#access-list 101 deny icmp host 192.168.3.2 host 192.168.2.2

r3(config)#access-list 101 permit icmp any any

r3(config)#interface serial 0/0

r3(config)#interface fastEthernet 0/0

r3(config-if)#ip access-group 101 in

--------------------------------------------------------------------

实例（ 4 ）

在 R2 上拒绝 192.168.1.2 PING 通 192.168.3.2 ，其它允许

r2(config)#access-list 101 deny icmp host 192.168.1.2 host 192.168.3.2

r2(config)#access-list 101 permit icmp any any

r2(config)#interface serial 0/0

r2(config-if)#ip access-group 101 out

 

 

 

如果想理解IN和OUT的摆放位置，哪须要做和看懂以上实例

 

 

实例（5）

 在R1上做访问控制列表，拒绝192.168.1.2 TELNET 192.168.3.1，其它允许

 

r1(config)#access-list 101 deny tcp host 192.168.1.2 host 192.168.3.1 eq 23

r1(config)#access-list 101 permit tcp any any

r1(config)#interface serial 0/0

r1(config-if)#ip access-group 101 out

 

实例（6）

    第一条拒绝192.168.1.2访问192.168.3.3上的WWW服务。第二条拒绝192.168.3.2访问192.168.1.3上的WWW服务。第三条拒绝192.168.1.0网段访问192.168.3.0网段。拒绝192.168.1.4TELNET 192.168.2.1

r2(config)#access-list 101 deny tcp host 192.168.1.2 host 192.168.3.3 eq www

r2(config)#access-list 101 deny tcp host 192.168.3.2 host 192.168.1.3 eq www

r2(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

r2(config)#access-list 101 deny tcp host 192.168.1.4 host 192.168.2.1  eq 23

r2(config)#access-list 101 permit tcp any any

r2(config)#access-list 101 permit icmp any any

r2(config)#interface serial 0/0

r2(config-if)#ip access-group 101 out

r2(config)#interface serial 0/1

r2(config-if)#ip access-group 101 out

 

实例（7）

拒绝TELNET 到路由器192.168.1.1

r1(config)#access-list 101 deny tcp any host 192.168.1.1 eq telnet

r1(config)#access-list 101 permit tcp any any

r1(config)#interface serial 0/0

r1(config-if)#ip access-group 101 in

 

转载于:https://blog.51cto.com/hjtyqs/365497