擴展ACL
實驗拓撲以及地址規划
要求:
拒絕PC0 所在網段訪問Server 172.84.3.100 的Web 服務
拒絕PC1 所在網段訪問Server 172.84.3.100 的Ftp 服務
拒絕PC0 所在網段訪問Server 172.84.3.100 的SQL 服務
拒絕PC0 所在網段訪問路由器R3 的Telnet 服務
拒絕PC1 所在網段訪問路由器R2 的Web 服務
拒絕PC0 和PC2 所在網段ping Server 服務器
只允許路由器R3 以接口s1/0 為源ping 路由器R2 的接口s0/0/1 地址,而不允許路
由器R2 以接口s1/0 為源ping 路由器R3 的接口s1/0 地址,即單向ping.
(一) 配置路由器(確保網絡連通)
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq 80
//拒絕PC1 所在網段訪問Server 172.84.3.100 的Web 服務
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 21
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 20
//拒絕PC2 所在網段訪問Server 172.84.3.100 的Ftp 服務
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq
1433
//拒絕PC1 所在網段訪問Server 172.84.3.100 的SQL 服務
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.23.3 eq 23
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.3 eq 23
//拒絕PC1 所在網段訪問路由器R3 的Telnet 服務
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.12.2 eq 80
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.23.2 eq 80
//拒絕PC2 所在網段訪問路由器R2 的Web 服務
R1(config)#access-list 110 deny icmp 172.84.1.0 0.0.0.255 host 172.84.3.100
R1(config)#access-list 110 deny icmp 172.84.2.0 0.0.0.255 host 172.84.3.100
//拒絕PC1 和PC2 所在網段ping Server 服務器
R1(config)#access-list 110 permit ip any any
R1(config)#int s1/0
R1(config-if)#ip access-group 110 out //接口下應用ACL
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 172.84.23.2 host 172.84.23.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s1/0
R3(config-if)#ip access-group 120 in
四、實驗調試
(一)路由器R1 上查看ACL110
R1#show ip access-lists 110
(二)路由器R3 和路由器R2 互相ping
(三)路由器R3 查看ACL 120
R3#show ip access-lists 120
(四)配置命令擴展ACL
R3(config)#ip access-list extended acl120
R3(config-ext-nacl)#deny icmp host 172.84.23.2 host 172.84.23.3 echo
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#int s1/0
R3(config-if)#ip access-group acl120 in
R3#show ip access-lists
