思科 Cisco Packet Tracer 扩展IP访问控制列表配置

扩展IP访问控制列表配置

标准ACL访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到"允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量"，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。使用的访问控制列表号100到199、1来创建相应的ACL。

话不多说，后续会出理论。

直接开做

 

PC

IP: 192.168.1.2

Submask: 255.255.255.0

Gateway: 192.168.1.1

Server

IP: 172.16.1.2

Submask: 255.255.255.0

Gateway: 172.16.1.1

第一步 配置端口

R1

R1(config)#int fa0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface fa 0/1
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.2.1 255.255.255.0

R2

R2(config)#int fa0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.3.1 255.255.255.0
R2(config-if)#exit
R2(config)#interface fa 0/1
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.2.2 255.255.255.0

R3

R3(config)#int fa0/0
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.1.1 255.255.255.0
R3(config-if)#exit
R3(config)#interface fa 0/1
R3(config-if)#no shutdown
R3(config-if)#ip address 192.168.3.2 255.255.255.0

第二步配置路由协议（这里永强君用静态路由做示范）

R1

R1(config)#ip route 172.16.1.0 255.255.255.0 192.168.2.2
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2

R2

R2(config)#ip route 172.16.1.0 255.255.255.0 192.168.3.2
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1

R3

R3(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
R3(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1

检查网络是否连通

  PC ping Server

 访问HTTP

 

看到这样就表示网络已经连通，可以进行访问控制列表的配置了。

第三步设置ACL

R2(config)#access-list 100 permit tcp host 192.168.1.2 host 172.16.1.2 eq www
R2(config)#access-list 100 deny icmp host 192.168.1.2 host 172.16.1.2 echo
R2(config)#interface FastEthernet0/0
R2(config-if)#ip access-group 100 out

然后检查

 

 Ping server ping不通，但是可以通过HTTP访问，就说明成功了。