CCNA配置試驗之六 标準ACL和擴充ACL的配置

通路控制清單分為标準通路控制清單和擴充通路控制清單：

标準ACL

檢查源位址

通常允許、拒絕的是完整的協定

擴充ACL

檢查源位址和目的位址

通常允許、拒絕的是某個特定的協定

今天我們來配置這兩種通路控制清單：

标準通路控制清單

試驗要求：利用标準通路控制清單

禁止192.168.2.1 ping 192.168.4.2

其他主機都允許對192.168.4.2做ping操作

試驗步驟：

二．設定标準通路控制清單

r4(config)#access-list 1 deny host 192.168.2.1

r4(config)#access-list 1 permit 0.0.0.0 255.255.255.255

r4(config)#int s0/2

r4(config-if)#ip access-group 1 in

ok标準ACL配置完成。

接下來我們來驗證

r1#ping 192.168.4.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds:

U.U.U

r2#ping 192.168.4.2

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 432/577/664 ms

r3#ping 192.168.4.2

Success rate is 100 percent (5/5), round-trip min/avg/max = 72/219/448 ms

驗證結果表明：R1 ping 不通192.168.4.2.而R2 R3能ping通192.168.4.2

試驗成功！

擴充通路控制清單

試驗要求：

拒絕192.168.4.2  ping  192.168.2.1

禁止192.168.3.2 telnet 192.168.2.1

其他通路都允許。

下面開始配置試驗：

R1

Router>en

Router#conf t

Enter configuration commands, .e per line.  End with CNTL/Z.

Router(config)#host r1

enable password cisco                     定義特權密碼

r1(config)#line vty 0 4                 定義telnet密碼

r1(config-line)#password ccna

r1(config-line)#login

r1(config-line)#exit

r1(config)#int s0/0                        給接口配置設定ip

r1(config-if)#ip addr 192.168.2.1 255.255.255.0

r1(config-if)#no shut

r1(config-if)#exit

r1(config)#router eigrp 100             配置eigrp路由協定

r1(config-router)#network 192.168.2.0

R2

Router(config)#host r2

r2(config)#enable password cisco

r2(config)#line vty 0 4

r2(config-line)#password ccna

r2(config-line)#login

r2(config-line)#exit

r2(config)#int s0/0

r2(config-if)#ip addr 192.168.2.2 255.255.255.0

r2(config-if)#no shut

r2(config-if)#exit

r2(config)#int s0/1

r2(config-if)#ip addr 192.168.3.1 255.255.255.0

r2(config)#router eigrp 100

r2(config-router)#network 192.168.2.0

r2(config-router)#network 192.168.3.0

r2(config-router)#exit

R3

Router(config)#host r3

r3(config)#enable password cisco

r3(config)#line vty 0 4

r3(config-line)#password ccna

r3(config-line)#login

r3(config-line)#exit

r3(config)#int s0/1

r3(config-if)#ip addr 192.168.3.2 255.255.255.0

r3(config-if)#no shut

r3(config-if)#exit

r3(config)#int s0/2

r3(config-if)#ip addr 192.168.4.1 255.255.255.0

r3(config-router)#network 192.168.3.0

r3(config-router)#network 192.168.4.0

r3(config-router)#exit

R4

Router(config)#host r4

r4(config)#enable password cisco

r4(config)#line vty 0 4

r4(config-line)#password ccna

r4(config-line)#login

r4(config-line)#exit

r4(config)int s0/2

r4(config)ip addr 192.168.4.2 255.255.255.0

r4(config-if)#no shut

r4(config-if)#exit

r4(config)#router eigrp 100

r4(config-router)#network 192.168.4.0

基本配置完成！

下面配置擴充ACL。

r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo

r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo-reply

r2(config)#access-list 100 deny tcp 192.168.3.2 0.0.0.0 192.168.2.1 0.0.0.0 eq 23

r2(config)#access-list 100 permit ip any any

r2(config-if)#ip access-group 100 out

配置完成！

驗證

r4#ping 192.168.2.1

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Success rate is 0 percent (0/5)

r4#telnet 192.168.2.1

Trying 192.168.2.1 ... Open

User Access Verification

Password:

r1>

R4不能ping通R1，但是能telnet上R1

r3#ping 192.168.2.1

Success rate is 100 percent (5/5), round-trip min/avg/max = 284/369/436 ms

r3#telnet 192.168.2.1

Trying 192.168.2.1 ...

% Destination unreachable; gateway or host down

R3能ping通R1但是卻telnet不上R1

O了，試驗成功！

本文轉自 範琳琳 51CTO部落格，原文連結：http://blog.51cto.com/fanlinlin/133222，如需轉載請自行聯系原作者