实验三十四、扩展访问列表的配置

实验三十四、扩展访问列表的配置

一、 实验目的

1. 掌握扩展访问列表的配置

2. 理解理解扩展访问列表丰富的过滤条件

二、 应用环境

1. 可以针对目标IP 地址进行控制

2. 针对某些服务进行控制

3. 可以针对某些协议进行控制

三、 实验设备

1. DCR-1751 两台

2. PC 机 两台

3. CR-V35MT 一条

4. CR-V35FC 一条

5. 网线 两条

四、 实验拓扑

五、 实验要求

ROUTER-A ROUTER-B

S1/1 (DCE) 192.168.1.1/24 S1/0 (DTE) 192.168.1.2/24

F0/0 192.168.0.1/24 F0/0 192.168.2.1/24 PC-A PC-B

IP 192.168.0.2/24 192.168.2.2/24

网关 192.168.0.1 192.168.2.1

实验目标：禁止 192.168.0.0/24 Telnet 到PC-B，但能Ping。

六、 实验步骤

第一步：参照实验三和上表，配置所有接口的地址，并测试连通性

Router-A#ping 192.168.1.2

PING 192.168.1.2 (192.168.1.2): 56 data bytes

!!!!!

--- 192.168.1.2 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss

round-trip min/avg/max = 20/28/30 ms

第二步：参照实验七，配置静态路由

Router-A#sh ip route

Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected

D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area

ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2

OE1 - OSPF external type 1, OE2 - OSPF external type 2

DHCP - DHCP type

VRF ID: 0

C 192.168.0.0/24 is directly connected, FastEthernet0/0

C 192.168.1.0/24 is directly connected, Serial1/1

S 192.168.2.0/24 [1,0] via 192.168.1.2

Router-B#sh ip route

Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected

D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area

ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2

OE1 - OSPF external type 1, OE2 - OSPF external type 2

DHCP - DHCP type

VRF ID: 0

S 192.168.0.0/24 [1,0] via 192.168.1.1

C 192.168.1.0/24 is directly connected, Serial1/0

C 192.168.2.0/24 is directly connected, FastEthernet0/0

第三步：PC-A 能与PC-B 通讯

第四步：在ROUTER-A 上设置访问列表

Router-A#conf

Router-A_config#ip access-list extended 192 ！定义扩展访问列表

Router-A_config_ext_nacl#deny tcp 192.168.0.0 255.255.255.0 192.168.2.2 255.255.255.255 eq 23

！设置扩展访问列表，拒绝Telnet

Router-A_config_ext_nacl#permit icmp any any ！允许Ping

Router-A_config_ext_nacl#exit

Router-A_config#int f0/0 ！进入离源比较近的接口

Router-A_config_f0/0#ip access-group 192 in ！绑定访问列表在IN 的方向

第五步：查看访问列表

Router-A#sh ip access-list

Extended IP access list 192

deny tcp 192.168.0.0 255.255.255.0 192.168.2.2 255.255.255.0 eq telnet

permit icmp any any

第六步：验证

转载于:https://blog.51cto.com/lorna8023/405902