标准访问控制列表的扩展访问控制列表
标准的访问控制列表在1-99之间
扩展的访问控制列表在99~。。。。
========================================
实验要求:
网络拓扑及IP规划如图所示,Server0为WWW,FTP服务器,现要求配置标准和扩展访问控制列表,实现拒绝11.11.11.0访问192.168.2.1服务器,要求10.10.10.1主机不能访问Server0的WWW服务,不能Ping通Server0,但可以FTP服务
==========================================
注:
要配置访问控制列表的时候,标准访问控制列表最好是在于目的最近的路由器上做访问控制
而在配置扩展访控制列表时候,最好在于源地近的路由器上做访问控制
==========================================
R1的配置
==========================================
en
conf t
host R1
no ip domain-lookup
line cons 0
loggi sync
exi
int f0/0
no sh
ip add 10.10.10.254 255.255.255.0
int f0/1
ip add 11.11.11.254 255.255.255.0
no sh
int s1/0
no sh
clock rate 64000
ip add 172.16.1.1 255.255.255.252
exi
router rip
ve 2
no au
net 10.0.0.0
net 11.0.0.0
net 172.16.0.0
========================================
R2的配置
========================================
en
conf t
host R2
no ip domain-lookup
line cons 0
loggi sync
exi
int f0/0
no sh
ip add 192.168.1.1 255.255.255.0
int s1/0
no sh
ip add 172.16.1.2 255.255.255.252
exi
router rip
ve 2
no au
net 172.16.0.0
net 192.168.1.0
========================================
R3的配置
========================================
en
conf t
host R3
no ip domain-lookup
line cons 0
loggi sync
exi
int f0/0
no sh
ip add 192.168.1.2 255.255.255.0
int f0/1
no sh
ip add 192.168.2.254 255.255.255.0
exi
router rip
ve 2
no au
net 192.168.2.0
net 192.168.1.0
=======================================
=======================================
R3 在目标地址最近的那个端口做限制
access-list 1 deny 11.11.11.0 0.0.0.255
access-list 1 permit any
int f0/1
ip access-group 1 out
========================================
========================================
R1
access-list 110 deny tcp 10.10.10.0 0.0.0.255
host
192.168.2.1 eq www
access-list 110 deny icmp 10.10.10.0 0.0.0.255 host
192.168.2.1 echo
access-list 110 deny icmp 10.10.10.0 0.0.0.255 host
192.168.2.1 echo-reply
access-list 110 permit tcp 10.10.10.0 0.0.0.255
host
192.168.2.1 eq tcp
access-list 110 permit ip any any
坚持,专注