扩展ACL
扩展ACL
实验拓扑以及地址规划
要求:
拒绝PC0 所在网段访问Server 172.84.3.100 的Web 服务
拒绝PC1 所在网段访问Server 172.84.3.100 的Ftp 服务
拒绝PC0 所在网段访问Server 172.84.3.100 的SQL 服务
拒绝PC0 所在网段访问路由器R3 的Telnet 服务
拒绝PC1 所在网段访问路由器R2 的Web 服务
拒绝PC0 和PC2 所在网段ping Server 服务器
只允许路由器R3 以接口s1/0 为源ping 路由器R2 的接口s0/0/1 地址,而不允许路
由器R2 以接口s1/0 为源ping 路由器R3 的接口s1/0 地址,即单向ping.
(一) 配置路由器(确保网络连通)
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq 80
//拒绝PC1 所在网段访问Server 172.84.3.100 的Web 服务
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 21
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 20
//拒绝PC2 所在网段访问Server 172.84.3.100 的Ftp 服务
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq
1433
//拒绝PC1 所在网段访问Server 172.84.3.100 的SQL 服务
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.23.3 eq 23
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.3 eq 23
//拒绝PC1 所在网段访问路由器R3 的Telnet 服务
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.12.2 eq 80
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.23.2 eq 80
//拒绝PC2 所在网段访问路由器R2 的Web 服务
R1(config)#access-list 110 deny icmp 172.84.1.0 0.0.0.255 host 172.84.3.100
R1(config)#access-list 110 deny icmp 172.84.2.0 0.0.0.255 host 172.84.3.100
//拒绝PC1 和PC2 所在网段ping Server 服务器
R1(config)#access-list 110 permit ip any any
R1(config)#int s1/0
R1(config-if)#ip access-group 110 out //接口下应用ACL
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 172.84.23.2 host 172.84.23.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s1/0
R3(config-if)#ip access-group 120 in
四、实验调试
(一)路由器R1 上查看ACL110
R1#show ip access-lists 110
(二)路由器R3 和路由器R2 互相ping
(三)路由器R3 查看ACL 120
R3#show ip access-lists 120
(四)配置命令扩展ACL
R3(config)#ip access-list extended acl120
R3(config-ext-nacl)#deny icmp host 172.84.23.2 host 172.84.23.3 echo
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#int s1/0
R3(config-if)#ip access-group acl120 in
R3#show ip access-lists