扩展ACL配置

扩展ACL配置

1、  实验目的：

通过本次实验，我们可以掌握如下技能

1)        定义扩展ACL

2)        应用扩展ACL

3)        扩展ACL的调试

2、  实验拓扑图：

   本实验的要求：

     本实验只允许PC2所在的网段的主机访问路由器R2的www和telnet服务，并拒绝pc3所在网段ping路由器R2、

3、  实验步骤：

（1）       配置各个路由器接口地址，和标准ACL一样，这样不在对介绍了。可以访问：http://lorna8023.blog.51cto.com/777608/241092

（2）       启用EIGRP路由协议，具体步骤如下：

R1(config)#ro

R1(config)#router e

R1(config)#router eigrp 1

R1(config-router)#net

R1(config-router)#network 10.1.1.0 0.0.0.255

R1(config-router)#net

R1(config-router)#network 172.16.1.0 0.0.0.255

R1(config-router)#ne

R1(config-router)#network 192.168.12.0

R1(config-router)#no au

R1(config-router)#no auto-summary

R1(config-router)#

 

 

R2(config)#router e

R2(config)#router eigrp 1

R2(config-router)#ne

R2(config-router)#network 192.168.12.0

R2(config-router)#

R2(config-router)#net

R2(config-router)#network 192.168.23.0

R2(config-router)#no a

R2(config-router)#no auto-summary

R2(config-router)#

 

 

R3(config)#router ei

R3(config)#router eigrp 1

R3(config-router)#net

R3(config-router)#network 192.168.23.0

R3(config-router)#

R3(config-router)#net

R3(config-router)#network 172.16.3.0 0.0.0.255

R3(config-router)#no a

R3(config-router)#no auto-summary

R3(config-router)#

（3）       配置ACL，具体配置步骤如下：

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telneet                                                                        

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet

R1(config)#exit

R1(config)#interface serial 2/0

R1(config-if)#ip ac

R1(config-if)#ip access-group 100 in

R1(config-if)#

 

R2(config)#no access-list 1

R2(config)#no access-list 2

R2(config)#ip http server

R2(config)#line

R2(config)#line vty 0 4

R2(config-line)#pass

R2(config-line)#password cisco

R2(config-line)#logi

R2(config-line)#login

 

 

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log

R3(config)#access-list 101 permit ip any any

R3(config)#interface serial 3/0

R3(config-if)#ip access-group 101 in

R3(config-if)#

（4）       实验测试

R1#show ip access-lists

Extended IP access list 100

    permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

    permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www

    permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www

    permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet

    permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet

R1#