扩展访问控制列表.docx

1、扩展访问控制列表 CISCO 之 CCNA 篇之七（3） 2009-06-28 15:48:09标签：访问 列表 CCNA 休闲 CISCO 版权声明：原创作品，谢绝转载！否则将追究法律责任。 在 访问控制列表（ACL）简介 CISCO 之 CCNA 篇之七（1）这篇文章中我们已经提到了标准的访问列表，下面就用两个实例来详细介绍下具体的应用。 扩展访问控制列表语法： Lab(config)#access-list 100-199 permit/deny 协议 源 IP 源 IP 反码 目标 IP 目标 IP 反码 条件eq 具体协议/端口号 举个语法实例，便于大家理解： Lab(config)

2、#access-list 101 deny tcp 192.168.1.10 0.0.0.0 172.16.1.2 0.0.0.0 eq telnet 或 Lab(config)#access-list 101 deny tcp host 192.168.1.10 host 172.16.1.2 eq 23 注意：只禁用某个服务（或某个端口）需要把其他设置打开 Lab(config)#access-list 101 permit ip any any Lab(config)#int fa0/0 (绑定到接口上) Lab(config-if)#ip class-group 101 in 注：eq

3、 等于；gt 大于；lt 小于；neq 不等于。扩展 ACL 实验一：只禁用 PC0 对外网服务器（Server0）的 http 访问 具体是实验拓扑图如下图Server0 充当外网服务器，它需要的配置如下，为其开启 DNS 服务，添加域名然后再为其开启 HTTP 服务，随便输入一些粗糙的网页内容，见下图标注处，路由器 R1 需要的配置（基本的 IP 配置见上图） r1 r1en r1#sh run Building configuration. Current configuration : 460 bytes ! version 12.2 no service password-encry

4、ption ! hostname r1 ！ ip ssh version 1 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface FastEthernet0/1 ip address 202.106.1.1 255.255.255.0 duplex auto speed auto ! ip classless ! access-list 101 deny tcp host 192.168.1.2 hos

5、t 202.106.1.2 eq www access-list 101 permit ip any any ! line con 0 line vty 0 4 login ! end 实验结果，先来看下面的图，打开“WEB 浏览器”，先在 PC0 上进行域名访问，连接不上，然后再在 PC1 上进行域名访问，成功进入我们自己设置的网页界面，通过这个测试，我们成功的禁用了 PC0 对外网服务器（Server0）的 HTTP 访问 ，下面我们再举一例，介绍扩展 ACL 的应用。扩展 ACL 实验二：只禁用 PC1 对 R2 的 PING 操作 具体的实验拓扑图如下：路由器 R1 的配置如下： r1

6、 r1en r1# sh run Building configuration. Current configuration : 639 bytes ! version 12.2 no service password-encryption ! hostname r1 ! ip ssh version 1 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface FastEthernet0/1 no ip a

7、ddress duplex auto speed auto shutdown ! interface Serial0/0 ip address 172.16.1.1 255.255.255.0 clock rate 64000 ! interface Serial0/1 no ip address shutdown ! ip classless ! ! access-list 101 deny icmp host 192.168.1.2 host 172.16.1.2 echo access-list 101 deny icmp host 192.168.1.2 host 172.16.1.2

8、 echo-reply access-list 101 permit ip any any ! line con 0 line vty 0 4 login ! end 路由器 R2 的配置如下： r2 r2en r2# sh run Building configuration. Current configuration : 463 bytes ! version 12.2 no service password-encryption ! hostname r2 ! ip ssh version 1 ! interface FastEthernet0/0 no ip address dupl

9、ex auto speed auto shutdown ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/0 ip address 172.16.1.2 255.255.255.0 ! interface Serial0/1 no ip address shutdown ! ip classless ip route 192.168.1.0 255.255.255.0 172.16.1.1 ! line con 0 line vty 0 4 login ! end实验结果：还是先来看下面的图，PC1 在 PING 路由器 R2 时已经不能通信了，看 PC2 和路由器 R2 可以正常通信，不受影响，同理，PC3 也可以喝路由器 R2 正常通信，有上面的三个图片，可以很容易看出，只有 PC1 不能 PING 通 R2，说明我们的实验成功，建的扩展 ACL 生效。ACL 还有更多的应用，由于篇幅问题，这里就先介绍这么多，欢迎阅读后续文章。