扩展IP访问控制列表配置
标准ACL访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到"允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量",那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。使用的访问控制列表号100到199、1来创建相应的ACL。
话不多说,后续会出理论。
直接开做
PC
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
Server
IP: 172.16.1.2
Submask: 255.255.255.0
Gateway: 172.16.1.1
第一步 配置端口
R1
R1(config)#int fa0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface fa 0/1
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R2
R2(config)#int fa0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.3.1 255.255.255.0
R2(config-if)#exit
R2(config)#interface fa 0/1
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.2.2 255.255.255.0
R3
R3(config)#int fa0/0
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.1.1 255.255.255.0
R3(config-if)#exit
R3(config)#interface fa 0/1
R3(config-if)#no shutdown
R3(config-if)#ip address 192.168.3.2 255.255.255.0
第二步配置路由协议(这里永强君用静态路由做示范)
R1
R1(config)#ip route 172.16.1.0 255.255.255.0 192.168.2.2
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2
R2
R2(config)#ip route 172.16.1.0 255.255.255.0 192.168.3.2
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1
R3
R3(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
R3(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1
检查网络是否连通
PC ping Server
访问HTTP
看到这样就表示网络已经连通,可以进行访问控制列表的配置了。
第三步设置ACL
R2(config)#access-list 100 permit tcp host 192.168.1.2 host 172.16.1.2 eq www
R2(config)#access-list 100 deny icmp host 192.168.1.2 host 172.16.1.2 echo
R2(config)#interface FastEthernet0/0
R2(config-if)#ip access-group 100 out
然后检查
Ping server ping不通,但是可以通过HTTP访问,就说明成功了。