CCNA配置试验之六 标准ACL和扩展ACL的配置

访问控制列表分为标准访问控制列表和扩展访问控制列表：

标准ACL

检查源地址

通常允许、拒绝的是完整的协议

扩展ACL

检查源地址和目的地址

通常允许、拒绝的是某个特定的协议

今天我们来配置这两种访问控制列表：

标准访问控制列表

试验要求：利用标准访问控制列表

禁止192.168.2.1 ping 192.168.4.2

其他主机都允许对192.168.4.2做ping操作

试验步骤：

一．按照试验拓扑图，给各接口分配IP，并在路由器间配置eigrp协议，配置eigrp协议请参看CCNA配置试验之三 EIGRP协议的配置

二．设置标准访问控制列表

r4(config)#access-list 1 deny host 192.168.2.1

r4(config)#access-list 1 permit 0.0.0.0 255.255.255.255

r4(config)#int s0/2

r4(config-if)#ip access-group 1 in

ok标准ACL配置完成。

接下来我们来验证

r1#ping 192.168.4.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:

U.U.U

r2#ping 192.168.4.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 432/577/664 ms

r3#ping 192.168.4.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 72/219/448 ms

验证结果表明：R1 ping 不通192.168.4.2.而R2 R3能ping通192.168.4.2

试验成功！

扩展访问控制列表

试验要求：

拒绝192.168.4.2 ping 192.168.2.1

禁止192.168.3.2 telnet 192.168.2.1

其他访问都允许。

下面开始配置试验：

R1

Router>en

Router#conf t

Enter configuration commands, .e per line. End with CNTL/Z.

Router(config)#host r1

enable password cisco 定义特权口令

r1(config)#line vty 0 4 定义telnet口令

r1(config-line)#password ccna

r1(config-line)#login

r1(config-line)#exit

r1(config)#int s0/0 给接口分配ip

r1(config-if)#ip addr 192.168.2.1 255.255.255.0

r1(config-if)#no shut

r1(config-if)#exit

r1(config)#router eigrp 100 配置eigrp路由协议

r1(config-router)#network 192.168.2.0

R2

Router>en

Router#conf t

Enter configuration commands, .e per line. End with CNTL/Z.

Router(config)#host r2

r2(config)#enable password cisco

r2(config)#line vty 0 4

r2(config-line)#password ccna

r2(config-line)#login

r2(config-line)#exit

r2(config)#int s0/0

r2(config-if)#ip addr 192.168.2.2 255.255.255.0

r2(config-if)#no shut

r2(config-if)#exit

r2(config)#int s0/1

r2(config-if)#ip addr 192.168.3.1 255.255.255.0

r2(config-if)#no shut

r2(config-if)#exit

r2(config)#router eigrp 100

r2(config-router)#network 192.168.2.0

r2(config-router)#network 192.168.3.0

r2(config-router)#exit

R3

Router>en

Router#conf t

Enter configuration commands, .e per line. End with CNTL/Z.

Router(config)#host r3

r3(config)#enable password cisco

r3(config)#line vty 0 4

r3(config-line)#password ccna

r3(config-line)#login

r3(config-line)#exit

r3(config)#int s0/1

r3(config-if)#ip addr 192.168.3.2 255.255.255.0

r3(config-if)#no shut

r3(config-if)#exit

r3(config)#int s0/2

r3(config-if)#ip addr 192.168.4.1 255.255.255.0

r3(config-if)#no shut

r3(config-if)#exit

r3(config-router)#network 192.168.3.0

r3(config-router)#network 192.168.4.0

r3(config-router)#exit

R4

Router>en

Router#conf t

Enter configuration commands, .e per line. End with CNTL/Z.

Router(config)#host r4

r4(config)#enable password cisco

r4(config)#line vty 0 4

r4(config-line)#password ccna

r4(config-line)#login

r4(config-line)#exit

r4(config)int s0/2

r4(config)ip addr 192.168.4.2 255.255.255.0

r4(config-if)#no shut

r4(config-if)#exit

r4(config)#router eigrp 100

r4(config-router)#network 192.168.4.0

基本配置完成！

下面配置扩展ACL。

r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo

r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo-reply

r2(config)#access-list 100 deny tcp 192.168.3.2 0.0.0.0 192.168.2.1 0.0.0.0 eq 23

r2(config)#access-list 100 permit ip any any

r2(config)#int s0/0

r2(config-if)#ip access-group 100 out

配置完成！

验证

r4#ping 192.168.2.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)

r4#telnet 192.168.2.1

Trying 192.168.2.1 ... Open

User Access Verification

Password:

r1>

R4不能ping通R1，但是能telnet上R1

r3#ping 192.168.2.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 284/369/436 ms

r3#telnet 192.168.2.1

Trying 192.168.2.1 ...

% Destination unreachable; gateway or host down

R3能ping通R1但是却telnet不上R1

O了，试验成功！

本文出自 “范琳琳学习笔记” 博客，请务必保留此出处http://fanlinlin.blog.51cto.com/535085/133222

本文出自 51CTO.COM技术博客

转载于:https://blog.51cto.com/llier/133983