访问控制列表配置

一、实验拓扑及要求

 

二、主要步骤

2.设置Router1与Router2之间串口的时钟频率：

 

Router(config)#intface s0/1/0
Router(config-if)#clock rate 64000

4.设置扩展访问控制列表

拒绝172.16.1.0网段访问服务器的www服务：R1

 

Router2(config)#access-list 100 deny tcp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 eq www
Router2(config)#access-list 100 permit ip any any
Router2(config-)#int f0/1
Router2(config-if)#ip access-group 100 out 

 

此时 1.0网段不能通过web浏览器访问服务器172.16.4.10，2.0网段可以；
但是可以 ping 通

 

拒绝172.16.2.0网段ping路由器R2：R2

Router1(config)#access-list 1 deny icmp 172.16.2.0 0.0.0.255 host 172.16.3.2
Router1(config)#accest-list 1 permit ip any any 
Router1(config)#int s0/1/0
Router1(config-if)#ip access-group 1 out

　　

 

拒绝172.16.1.10网段访问服务器的DNS服务:
在Server上配置DNS：添加地址并命名msq

R2：

Router2(config)#access-list 100 deny udp host 172.16.1.10 172.16.4.0 0.0.0.255 eq domain

　　

此时 172.16.1.10 ping msq 不通
172.16.1.20 ping msq 通

 

查看访问列表：

 

Router1(config)#show access-list