您的位置:360文档中心› 案例36:扩展ACL

案例36:扩展ACL

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

案例36:扩展ACL
1. 案例目标
通过本案例,你可以掌握如下技能:
1)定义扩展ACL
2)应用扩展ACL
3)扩展ACL调试
2. 设备与拓扑
设备:3台1841路由器,3台PC,1台服务器。

拓扑:如下图。

3. 配置要求
1)只允许PC1所在网段的主机访问www服务器和路由器R2的Telnet服
务。

2)拒绝PC2所在网段PING路由器R2
4. 操作步骤
步骤1:本实验在案例35的基础上仅增加1台服务器,其他与案例35一样。

注意配置服务器与路由器对应接口的IP地址。

网络的连通性仍旧采用
EIGRP。

步骤2:配置R1
1)配置EIGRP
与案例35相同。

2)配置ACL
R1#conf t
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host
192.168.2.254 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host
192.168.2.1 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host
192.168.12.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host
192.168.23.1 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq
telnet
R1(config)#
3)应用ACL
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#
步骤3:配置R2
1)配置EIGRP
R2#conf t
R2(config)#router eigrp 100
R2(config-router)#network 192.168.2.0
R2(config-router)#exit
R2(config)#
//在案例35的配置基础上增加上述network语句即可
2)配置ACL
R2#conf t
R2(config)#no access-list 1
R2(config)#no access-list 2
R2(config)#
R2(config)#int s0/0/0
R2(config-if)#no ip access-group 1 in
R2(config-if)#line vty 0 4
R2(config-line)#no access-class 2 in
R2#
//删除案例35配置的2个标准ACL及其应用
步骤4:配置R3
1)配置EIGRP
与案例35相同。

2)配置ACL
R3#conf t
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.2.1 R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host
192.168.12.2
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host
192.168.23.1
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2
3)应用ACL
R3(config)#int f0/0
R3(config-if)#ip access-group 101 in
R3(config-if)#
步骤5:验证配置
1)验证路由
在R1、R2和R3上验证路由表,保证所有网络的连通性。

2)验证ACL
R1#sh ip access-lists
Extended IP access list 100
permit tcp 172.16.1.0 0.0.0.255 host 192.168.2.254 eq www
permit tcp 172.16.1.0 0.0.0.255 host 192.168.2.1 eq telnet
permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq telnet
permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
R1#
3)验证配置要求
⏹PC1应能Telnet登录R2,应能浏览www服务器,但不能ping其他
主机或路由器。

⏹PC2不能ping通R2,能ping通R1和R3,包括PC0,但不包括PC1,
为什么?。

相关文档
最新文档