1、PT5.3 ACL 综合实验 TFTP ping标准访问控制列表: 只允许网段 1和网段 2之间互相访问 扩展访问控制列表: 只允许网段 1(10.10.1.0/24)访问 R2路由器内部的 WWW服务和 PING服务,拒绝访问该服务器上的其他服务; 只允许网段 2(10.10.2.0/24)访问 R3路由器内部的 TFTP服务和 PING服务,拒绝访问该服务器上的其他服务。 做访问控制列表实验之前先在各个路由器上配置了(动态/静态)路由协议,使整个网络互通。标准访问控制列表配置:只允许网段 1和网段 2之间互相访问R1配置:R1#conf tR1(config)#access-list 1
2、deny 10.10.1.0 0.0.0.255R1(config)#access-list 1 deny 10.10.2.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#int f0/0R1(config-if)#ip access-group 1 out测试省略扩展访问控制列表配置:只允许网段 1(10.10.1.0/24)访问 R2路由器内部的 WWW服务和 PING服务,拒绝访问该服务器上的其他服务;只允许网段 2(10.10.2.0/24)访问 R3路由器内部的 TFTP服务和 PING服务,拒绝访问该服务器上的其他服
3、务。首先删除标准访问控制列表:R1(config)#int f0/0R1(config-if)#no ip access-group 1 outR1(config-if)#exit R1(config)#no access-list 1 R1配置:R1#conf tR1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq 80 R1(config)#access-list 101 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.1 R1(config)#a
4、ccess-list 101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo-replyR1(config)#int f0/0R1(config-if)#ip access-group 101 out测试:PC1:PC1#ping 172.16.1.1 通PC1#ping 172.16.5.1 不通PC2:PC2#ping 172.16.1.1 不通PC2#ping 172.16.5.1 通
