扩展ACL控制列表的配置

扩展ACL控制列表的配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

实验目的：了解路由器的扩展acl列表的配置

实验环境：用两台路由器模拟出两个局域网分别为192.168.1.0和192.168.3.0

使得pc1不能telnet到r2，但可以ping通r2

实验的拓扑图如下

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

实验步骤：

1:进入到第一台路由进行如下的配置

Router>en

Router # config t

Router (config) # host r1

r1 (config) #int fa1/0

r1 (config-if)# ip add 192.168.1.1 255.255.255.0

r1 (config-if) # no shut

r1 (config) # int s0/0

r1 (config-if) # ip add 192.168.2.1 255.255.255.0

  r1 (config-if) #clock rate 64000

r1 (config) # no shut

r1 (config) #router rip

r1 (config-router) #net 192.168.1.0

r1 (config-router) #net 192.168.2.0

r1(config-router)#^Z

r1 (config) #ip access-list extended 192    定义访问控制列表

r1 (config-ext-nacl) # deny tcp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 eq 23          设置访问控制列表拒绝telnet服务

r1 (config-ext-nacl) #permit icmp  any any     允许ping

r1 (config-ext-nacl) #exit

r1(config) #int fa 1/0                   进入离源目标最近的接口

r1 (config-if) #ip access-group <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />192 in   绑定访问控制列表在in的方向

r1 (config-if) #exit

 

r1 (config) # exit      

r1 # copy run start

2:进入到第二台路由进行如下的配置

Router>en

Router # config t

Router (config) # host r2

r2 (config) #int fa1/0

r2 (config-if)# ip add 192.168.3.1 255.255.255.0

r2 (config-if) # no shut

r2 (config) # int s0/0

r2 (config-if) # ip add 192.168.2.2 255.255.255.0

r2 (config) # no shut

r2 (config) #router rip

r2 (config-router)#net 192.168.2.0

r2 (config-router)#net 192.168.3.0

r2(config-router)#^Z

r2(config)#ena pass 123

r2 (config)#line vty 0 4

r2 (config-line)#login

r2 (config-line)#pass 123

r2 (config-line)#exit

 

r2 (config) # exit

r2 # copy run start

3：在pc机上实验成功

Pc机的配置如下

Pc1 192.168.1.2 255.255.255.0 192.168.1.1

Pc2 192.168.3.2 255.255.255.0 192.168.3.1

实验结果如下图所示

 

 

转载于:https://blog.51cto.com/huangkai/279617