标准访问控制列表:
只允许网段1和网段2之间互相访问
扩展访问控制列表:
只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问该服务器上的其他服务;
只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问该服务器上的其他服务。
做访问控制列表实验之前我已经在各个路由器上配置了动态路由协议,使整个网
络拓扑是连通的。所以,大家在做访问控制列表实验之前,先配置好路由(动态/
静态),网络运行正常后再配置访问控制列表
标准访问控制列表配置:
只允许网段1和网段2之间互相访问
R1配置:
R1#conf
t
R1(config)#access-list 1 deny 10.10.1.0 0.0.0.255
R1(config)#access-list
1 deny 10.10.2.0 0.0.0.255
R1(config)#access-list 1 permit
any
R1(config)#int f0/0
R1(config-if)#ip access-group 1
out
测试:
在PC1上ping PC2(10.10.2.1)
PC1#ping
10.10.2.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 10.10.2.1, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
108/227/312
ms
测试结果为可以访问
在PC1上PING R2路由器的内部网络(172.16.1.1)
PC1#ping
172.16.1.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2
seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果是不能访问
在PC2上PING
PC1(10.10.1.1)
PC2#ping 10.10.1.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 10.10.1.1, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
72/176/216
ms
测试结果为可以访问
在PC2上PING
R3路由器的内部网络(172.16.5.1)
PC2#ping 172.16.5.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2
seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不能访问
扩展访问控制列表配置:
只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问
该服务器上的其他服务;
只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问
该服务器上的其他服务。
因为先前我们已经配置了一个标准访问控制列表,为了不影响下一步的实验,现
在我们先将其删除
R1#show
access-lists
Standard IP access list 1
10
deny 10.10.1.0, wildcard bits 0.0.0.255 (8
matches)
20 deny 10.10.2.0, wildcard bits
0.0.0.255 (16 matches)
30 permit any
R1#conf
t
R1(config)#int f0/0
R1(config-if)#no ip access-group 1
out
R1(config-if)#exit
R1(config)#no access-list
1
R1(config)#end
R1#show access-lists
R1#
好了,现在我们开始配置扩展的访问控制列表了,根据上面的要求来做
R1配置:
R1#conf t
R1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255
host
172.16.1.1
eq 80
R1(config)#access-list 101
permit icmp 10.10.1.0 0.0.0.255
host
172.16.1.1
R1(config)#access-list 101
permit udp 10.10.2.0 0.0.0.255
host
172.16.5.1 eq
69
R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255
host
172.16.5.1
echo
R1(config)#access-list 101
permit icmp 10.10.2.0 0.0.0.255
host
172.16.5.1
echo-reply
R1(config)#int f0/0
R1(config-if)#ip access-group 101
out
R1(config-if)#end
R1#show access-lists
Extended IP access list
101
10 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq
www
20 permit icmp 10.10.1.0 0.0.0.255 host
172.16.1.1
30 permit udp 10.10.2.0 0.0.0.255 host
172.16.5.1 eq tftp
40 permit icmp 10.10.2.0 0.0.0.255 host
172.16.5.1 echo
50 permit icmp 10.10.2.0 0.0.0.255 host
172.16.5.1 echo-reply
测试:
PC1:
在PC1上PING
R2路由器内部网段的WEB服务器(172.16.1.1)
PC1#ping
172.16.1.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
148/268/420
ms
测试结果为可以PING
在PC1上PING
R3路由器内部网段的TFTP服务器(172.16.5.1)
PC1#ping
172.16.5.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2
seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不可以PING
PC2:
在PC2上PING
R2路由器内部网段的WEB服务器(172.16.1.1)
PC2#ping
172.16.1.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2
seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不可以PING
在PC2上PING
R3路由器内部网段的TFTP服务器(172.16.5.1)
PC2#ping
172.16.5.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
288/317/384
ms
测试结果为可以PIN
具体步骤
做访问控制列表实验之前我已经在各个路由器上配置了动态路由协议,使整个网络拓扑是连通的。所以,大家在做访问控制列表实验之前,先配置好路由(动态/静态),网络运行正常后再配置访问控制列表
标准访问控制列表配置:
只允许网段1和网段2之间互相访问
R1配置:
R1#conf
t
R1(config)#access-list 1 deny 10.10.1.0 0.0.0.255
R1(config)#access-list
1 deny 10.10.2.0 0.0.0.255
R1(config)#access-list 1 permit
any
R1(config)#int f0/0
R1(config-if)#ip access-group 1
out
测试:
在PC1上ping PC2(10.10.2.1)
PC1#ping
10.10.2.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 10.10.2.1, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
108/227/312 ms
测试结果为可以访问
在PC1上PING R2路由器的内部网络(172.16.1.1)
PC1#ping
172.16.1.1
Type escape sequence to
abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2
seconds:
U.U.U
Success rate is 0 percent
(0/5)
测试结果是不能访问
在PC2上PING
PC1(10.10.1.1)
PC2#ping 10.10.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to
10.10.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5),
round-trip min/avg/max = 72/176/216 ms
测试结果为可以访问
在PC2上PING
R3路由器的内部网络(172.16.5.1)
PC2#ping 172.16.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to
172.16.5.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent
(0/5)
测试结果为不能访问
扩展访问控制列表配置:
只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问该服务器上的其他服务;
只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问该服务器上的其他服务。
因为先前我们已经配置了一个标准访问控制列表,为了不影响下一步的实验,现在我们先将其删除
R1#show
access-lists
Standard IP access list 1
10
deny 10.10.1.0, wildcard bits 0.0.0.255 (8
matches)
20 deny 10.10.2.0, wildcard bits
0.0.0.255 (16 matches)
30 permit any
R1#conf
t
R1(config)#int f0/0
R1(config-if)#no ip access-group 1
out
R1(config-if)#exit
R1(config)#no access-list
1
R1(config)#end
R1#show access-lists
R1#
好了,现在我们开始配置扩展的访问控制列表了,根据上面的要求来做
R1配置:
R1#conf
t
R1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255
host
172.16.1.1 eq
80
R1(config)#access-list 101
permit icmp 10.10.1.0 0.0.0.255
host
172.16.1.1
R1(config)#access-list 101
permit udp 10.10.2.0 0.0.0.255
host
172.16.5.1 eq 69
R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255
host
172.16.5.1
echo
R1(config)#access-list 101
permit icmp 10.10.2.0 0.0.0.255
host
172.16.5.1 echo-reply
R1(config)#int f0/0
R1(config-if)#ip access-group
101 out
R1(config-if)#end
R1#show access-lists
Extended IP access list
101
10 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq
www
20 permit icmp 10.10.1.0 0.0.0.255 host
172.16.1.1
30 permit udp 10.10.2.0 0.0.0.255 host
172.16.5.1 eq tftp
40 permit icmp 10.10.2.0 0.0.0.255 host
172.16.5.1 echo
50 permit icmp 10.10.2.0 0.0.0.255 host
172.16.5.1 echo-reply
测试:
PC1:
在PC1上PING
R2路由器内部网段的WEB服务器(172.16.1.1)
PC1#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to
172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5),
round-trip min/avg/max = 148/268/420 ms
测试结果为可以PING
在PC1上PING
R3路由器内部网段的TFTP服务器(172.16.5.1)
PC1#ping 172.16.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to
172.16.5.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent
(0/5)
测试结果为不可以PING
PC2:
在PC2上PING
R2路由器内部网段的WEB服务器(172.16.1.1)
PC2#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to
172.16.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent
(0/5)
测试结果为不可以PING
在PC2上PING R3路由器内部网段的TFTP服务器(172.16.5.1)
PC2#ping
172.16.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to
172.16.5.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5),
round-trip min/avg/max = 288/317/384 ms
测试结果为可以PING