扩展访问控制列表配置(51cto: 实验 35)

本文详细介绍了如何在路由器上配置访问控制列表(ACL),包括标准和扩展ACL的使用,以及如何根据源地址、目的地址、端口号和协议类型进行过滤。通过配置ACL,实现了对特定网络流量的控制,确保了网络资源的有效利用和安全性。

在实验34的基础上删除标准访问控制列表,添加扩展访问控制列表

RA

Router(config)#int s1/0
Router(config-if)#no ip access-group test out
Router#configure terminal
Router(config)#access-list ?
  <1-99>     IP standard access list
  <100-199>  IP extended access list
Router(config)#access-list 110 permit tcp 210.31.10.0 0.0.0.255 200.200.200.2 0.0.0.0 eq 80//web服务
Router(config)#access-list 110 deny icmp 210.31.10.0 0.0.0.255 any
Router(config)#access-list 110 permit icmp 210.31.10.0 0.0.0.255 any
Router(config)#access-list 110 deny icmp 210.31.20.0 0.0.0.255 any
Router(config)#int s1/0
Router(config-if)#ip access-group 110 out

 

结果:

主机0、主机1都能访问web/http服务器,但主机1不能ping通http服务器,主机0不能ping通http服务器

 

实验内容
(1) 按图配置各台路由器接口和计算机的 IP 地址。
(2) 在 C2811A 和 C2811B 上分别运行 RIP 路由协议,使得两台路由器可以相互学习路由信息。
(3) 参阅教材中内容,在 C2811A 上配置扩展访问控制列表,允许 210.31.10.0/24 和 210.31.20.0 访问外部的Web 服务,允许 210.31.10.0/24 使用 ICMP 协议访问外部,不允许 210.31.20.0/24 使用 ICMP 协议访问外部,其他任何访问均拒绝通过。
(4) 分别在 210.31.10.2 和 210.31.20.2 上使用 Web Browser 访问服务器 200.200.200.2 的 Web 服务,均能访问,210.31.10.2 与 200.200.200.2 之间可以 ping 通,210.31.20.2 与 200.200.200.2 之间不能 ping 通。
(5) 完成以上配置之后使用 show ip access-lists 查看访问控制列表配置的内容。
3. 实验要求
掌握访问控制列表的概念,理解扩展访问控制列表可以根据源地址、目的地址、源端口、目的端口、协议类型等进行过滤,掌握扩展访问控制列表的配置方法和命令。
(1) 结果分析与概念理解
扩展访问控制列表,同样也有编号和命名两种配置方式
 编号的配置方式,编号为 100-199,
创建扩展访问控制列表,定义 permit 或 deny 语句,应用于路由器接口的 in 或 out方向
 命名的配置方式
创建扩展访问控制列表,定义 permit 或 deny 语句,应用于路由器接口的 in 或 out方向
扩展访问控制列表
Permit 协议 源地址 源地址的通配符掩码 目的地址 目的地址的通配符掩码 端口号
Deny 协议 源地址 源地址的通配符掩码 目的地址 目的地址的通配符掩码 端口号
可以使用Show ip accest-list

 

 

转载于:https://www.cnblogs.com/jianfengyun/p/3756508.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值