1、中国 CCIE 实验室-思科华为网络技术论坛 CCNA/CCDA ACL(访问控制列表)配置实验查看完整版本: ACL(访问控制列表)配置实验乡巴佬 2007-9-13 09:08ACL(访问控制列表)配置实验color=Red实验要求标准访问控制列表: 只允许网段 1 和网段 2 之间互相访问 扩展访问控制列表: 只允许网段 1(10.10.1.0/24)访问 R2 路由器内部的 WWW 服务和 PING服务,拒绝访问该服务器上的其他服务; 只允许网段 2(10.10.2.0/24)访问 R3 路由器内部的 TFTP 服务和PING 服务,拒绝访问该服务器上的其他服务。 做访问控制列表实验之
2、前我已经在各个路由器上配置了动态路由协议,使整个网络拓扑是连通的。所以,大家在做访问控制列表实验之前,先配置好路由(动态/静态),网络运行正常后再配置访问控制列表标准访问控制列表配置:只允许网段 1 和网段 2 之间互相访问R1 配置:R1#conf tR1(config)#access-list 1 deny 10.10.1.0 0.0.0.255R1(config)#access-list 1 deny 10.10.2.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#int f0/0R1(config-if)#ip acce
3、ss-group 1 out测试:在 PC1 上 ping PC2(10.10.2.1)PC1#ping 10.10.2.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.10.2.1, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 108/227/312 ms测试结果为可以访问在 PC1 上 PING R2 路由器的内部网络(172.16.1.1)PC1#ping 172.16.1.1 Ty
4、pe escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)测试结果是不能访问在 PC2 上 PING PC1(10.10.1.1)PC2#ping 10.10.1.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.10.1.1, timeout is 2 seconds:!Success rate is 1
5、00 percent (5/5), round-trip min/avg/max = 72/176/216 ms测试结果为可以访问在 PC2 上 PING R3 路由器的内部网络(172.16.5.1)PC2#ping 172.16.5.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)测试结果为不能访问扩展访问控制列表配置:只允许网段 1(10.10.1.0/24)访问 R2
6、路由器内部的 WWW 服务和 PING服务,拒绝访问该服务器上的其他服务;只允许网段 2(10.10.2.0/24)访问 R3 路由器内部的 TFTP 服务和PING 服务,拒绝访问该服务器上的其他服务。因为先前我们已经配置了一个标准访问控制列表,为了不影响下一步的实验,现在我们先将其删除R1#show access-lists Standard IP access list 110 deny 10.10.1.0, wildcard bits 0.0.0.255 (8 matches)20 deny 10.10.2.0, wildcard bits 0.0.0.255 (16 matches)
7、30 permit anyR1#conf tR1(config)#int f0/0R1(config-if)#no ip access-group 1 outR1(config-if)#exit R1(config)#no access-list 1 R1(config)#endR1#show access-listsR1#好了,现在我们开始配置扩展的访问控制列表了,根据上面的要求来做R1 配置:R1#conf tR1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq 80 R1(config)#
8、access-list 101 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.1 R1(config)#access-list 101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 ec
9、ho-replyR1(config)#int f0/0R1(config-if)#ip access-group 101 outR1(config-if)#endR1#show access-lists Extended IP access list 10110 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq www20 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.130 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq tftp40 permi
10、t icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo50 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo-reply测试:PC1:在 PC1 上 PING R2 路由器内部网段的 WEB 服务器(172.16.1.1)PC1#ping 172.16.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:!Success rate is 100 perc
11、ent (5/5), round-trip min/avg/max = 148/268/420 ms测试结果为可以 PING在 PC1 上 PING R3 路由器内部网段的 TFTP 服务器(172.16.5.1)PC1#ping 172.16.5.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)测试结果为不可以 PINGPC2:* Hidden Message */color
12、zhanqingtai 2007-9-17 19:52回回回/看看了。yc03zhangyuli1983 2007-10-2 23:03dinggggggggggggggggggggggpplove 2007-10-3 14:29yc06 kannnnnnnnnnnnnnnnnnnnwzyxlh 2007-10-3 19:05看看halfhour 2007-10-18 11:03狂顶.南宫雅稚 2007-10-18 23:01实验好啊看看mars 2007-10-21 11:04谢谢 LZ 的分享.乡巴佬 2007-10-21 21:22谢谢大家的支持以后如果我有什么好的资料的话会和大家一起分
13、享的以后大家一起努力 把论坛弄的更好dreams_fly 2007-10-23 11:17瞅瞅.dailin1986 2007-10-24 02:04回复万岁!乡巴佬 2007-11-1 08:38不能让这个帖子沉底啊yc01sandyxjs 2007-11-7 16:25回复看看,谢谢分享,呵呵lzxlzx1983 2007-11-7 20:08恩 学习学习再学习 !111renjianfei 2007-12-5 13:37ddddddddddddddddljf87654 2007-12-8 20:07很感谢,正发愁呢。chloveysm 2007-12-12 17:26ffffddddddddddddddddddddddbinglian3344 2007-12-17 17:20!shmilysweet 2007-12-20 14:20真的好想知道!yc05页: 1 查看完整版本: ACL(访问控制列表)配置实验 Powered by Discuz! Archiver 6.0.0 2001-2006 Comsenz Inc.
