通路控制清單分為标準通路控制清單和擴充通路控制清單:
标準ACL
檢查源位址
通常允許、拒絕的是完整的協定
擴充ACL
檢查源位址和目的位址
通常允許、拒絕的是某個特定的協定
今天我們來配置這兩種通路控制清單:
标準通路控制清單
試驗要求:利用标準通路控制清單
禁止192.168.2.1 ping 192.168.4.2
其他主機都允許對192.168.4.2做ping操作
試驗步驟:
二.設定标準通路控制清單
r4(config)#access-list 1 deny host 192.168.2.1
r4(config)#access-list 1 permit 0.0.0.0 255.255.255.255
r4(config)#int s0/2
r4(config-if)#ip access-group 1 in
ok标準ACL配置完成。
接下來我們來驗證
r1#ping 192.168.4.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:
U.U.U
r2#ping 192.168.4.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 432/577/664 ms
r3#ping 192.168.4.2
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/219/448 ms
驗證結果表明:R1 ping 不通192.168.4.2.而R2 R3能ping通192.168.4.2
試驗成功!
擴充通路控制清單
試驗要求:
拒絕192.168.4.2 ping 192.168.2.1
禁止192.168.3.2 telnet 192.168.2.1
其他通路都允許。
下面開始配置試驗:
R1
Router>en
Router#conf t
Enter configuration commands, .e per line. End with CNTL/Z.
Router(config)#host r1
enable password cisco 定義特權密碼
r1(config)#line vty 0 4 定義telnet密碼
r1(config-line)#password ccna
r1(config-line)#login
r1(config-line)#exit
r1(config)#int s0/0 給接口配置設定ip
r1(config-if)#ip addr 192.168.2.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#exit
r1(config)#router eigrp 100 配置eigrp路由協定
r1(config-router)#network 192.168.2.0
R2
Router(config)#host r2
r2(config)#enable password cisco
r2(config)#line vty 0 4
r2(config-line)#password ccna
r2(config-line)#login
r2(config-line)#exit
r2(config)#int s0/0
r2(config-if)#ip addr 192.168.2.2 255.255.255.0
r2(config-if)#no shut
r2(config-if)#exit
r2(config)#int s0/1
r2(config-if)#ip addr 192.168.3.1 255.255.255.0
r2(config)#router eigrp 100
r2(config-router)#network 192.168.2.0
r2(config-router)#network 192.168.3.0
r2(config-router)#exit
R3
Router(config)#host r3
r3(config)#enable password cisco
r3(config)#line vty 0 4
r3(config-line)#password ccna
r3(config-line)#login
r3(config-line)#exit
r3(config)#int s0/1
r3(config-if)#ip addr 192.168.3.2 255.255.255.0
r3(config-if)#no shut
r3(config-if)#exit
r3(config)#int s0/2
r3(config-if)#ip addr 192.168.4.1 255.255.255.0
r3(config-router)#network 192.168.3.0
r3(config-router)#network 192.168.4.0
r3(config-router)#exit
R4
Router(config)#host r4
r4(config)#enable password cisco
r4(config)#line vty 0 4
r4(config-line)#password ccna
r4(config-line)#login
r4(config-line)#exit
r4(config)int s0/2
r4(config)ip addr 192.168.4.2 255.255.255.0
r4(config-if)#no shut
r4(config-if)#exit
r4(config)#router eigrp 100
r4(config-router)#network 192.168.4.0
基本配置完成!
下面配置擴充ACL。
r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo
r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo-reply
r2(config)#access-list 100 deny tcp 192.168.3.2 0.0.0.0 192.168.2.1 0.0.0.0 eq 23
r2(config)#access-list 100 permit ip any any
r2(config-if)#ip access-group 100 out
配置完成!
驗證
r4#ping 192.168.2.1
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Success rate is 0 percent (0/5)
r4#telnet 192.168.2.1
Trying 192.168.2.1 ... Open
User Access Verification
Password:
r1>
R4不能ping通R1,但是能telnet上R1
r3#ping 192.168.2.1
Success rate is 100 percent (5/5), round-trip min/avg/max = 284/369/436 ms
r3#telnet 192.168.2.1
Trying 192.168.2.1 ...
% Destination unreachable; gateway or host down
R3能ping通R1但是卻telnet不上R1
O了,試驗成功!
本文轉自 範琳琳 51CTO部落格,原文連結:http://blog.51cto.com/fanlinlin/133222,如需轉載請自行聯系原作者