路由访问控制列表配置ACL配置
12.1. 实验目标
任务一:标准访问控制列表配置
任务二:扩展访问控制列表配置
任务三:命名访问控制列表
实验一:acl 的应用
标准访问控制列表
配置扩展访问控制列表
配置命名访问控制列表
12.2. 准备环境
三台2610路由器连接
12.3. 实验拓扑     最上边的是R1  ,左边的是R2 ,右边的是R3
clip_image002
2.4. 实验步骤及参考
12.4.1. 标准访问控制列表
禁止访问192.168.1.1
第一步:r1上的配置。 clip_image002[7]
r1(config)#int e0/0 clip_image004
r1(config-if)#ip add 192.168.0.1 255.255.255.0
clip_image006
r1(config-if)#no sh clip_image008
r1(config-if)#int e0/1 clip_image010
r1(config-if)#ip add 10.0.0.1 255.0.0.0
clip_image012
r1(config-if)#no sh clip_image014
r1(config-if)#router ospf 10 clip_image016
r1(config-router)#network 192.168.0.1 0.255.255.255 area 0
clip_image018
r1(config-router)#network 10.0.0.1 0.0.0.255 area 0
clip_image020
clip_image022
第二步:r2上的配置。
clip_image024
r2(config)#int e0/0 clip_image026
r2(config-if)#ip add 192.168.0.2 255.255.255.0
clip_image028
r2(config-if)#no sh clip_image030
r2(config-if)#int e0/1 clip_image032
r2(config-if)#ip add 10.10.2.1 255.255.255.0
clip_image034
r2(config-if)#no sh clip_image036
r2(config-if)#router router ospf 10 clip_image038
r2(config-router)#network 192.168.0.2 0.255.255.255 area 0
clip_image040
r2(config-router)#network 172.16.1.1 0.0.255.255 area 0
clip_image042
(下面这几步是在r1上的e0/0出方向绑定标准访问控制列表项,因为标准的最好在离目的地址近的接口上配置。!)
任务:
R1(config)#access-list 1 deny 192.168.1.1 0.0.0.0      (禁止访问192.168.1.1)
clip_image044
R1(config)#access-list 1 permit 0.0.0.0 255.255.255.255  (允许访问所有)
clip_image046
R1(config)#int e0/2 clip_image010[1]
R1(config-if)#ip access-group 1 out clip_image048
第三步:r3上的配置。
clip_image050
r3(config)# interface Ethernet0/0 clip_image052
r3(config-if)#ip address 172.16.5.1 255.255.255.0
clip_image054
r3(config-if)#no sh clip_image056
r3(config)#interface Ethernet0/1 clip_image058
r3(config-if)#ip address 172.15.0.1 255.255.0.0
clip_image060
r3(config-if)#no sh clip_image062
r3(config)#router rip clip_image064
r3(config-router)#network 10.10.2.0
clip_image066
r3(config-router)#network 172.15.0.1 0.0.255.255 area 0
clip_image068
查看:
r3(config-router)# do show ip route
clip_image070
r3#ping 192.168.0.1
!!!!!
clip_image072
第四步:在r2上测试。
R2#ping 20.0.0.2
U.U.U (目标地址不可达) 禁用了192.168.0.2发来的数据包,但172.16.0.2可以PING通20.0.0.2
Success rate is 0 percent (0/5)
clip_image074
r1#ping 192.168.0.2
!!!!!
12.4.2. 配置扩展访问控制列表
任务:让192.168.0.1不能连通192.168.0.2但0.2可以连通0.1
第一步:r2上的配置。
r2(config)#access-list 102 deny icmp host 192.168.0.1 host 192.168.0.2 echo
clip_image076
r2(config)#access-list 102 permit ip any any
clip_image078
r2(config)#int e0/0 clip_image080
r2(config-if)#ip access-group 102 in clip_image082
(这些是拒绝icmp的连通)
clip_image084
r2(config-if)#no ip access-group 102 in clip_image086
r2(config-if)#exit
r2(config)#no access-list 102 clip_image088
(这是删除一个ACL)
r2(config)#access-list 101 deny tcp host 192.168.0.1 host 192.168.0.2 eq 23
clip_image090
不能用tcp协议中的telnet
r2(config)#access-list 101 permit ip any any
clip_image092
r2(config-if)#ip access-group 101 in
clip_image094
r2(config-if)#exit
(这是拒绝TELNET登陆)
第二步:r1上的配置。
r1#ping 192.168.0.2
clip_image096
(这些是测试拒绝icmp的连通)
Success rate is 0 percent (0/5)
r1#telnet 10.10.2.10
Trying 10.10.2.10 ...
% Destination unreachable; gateway or host down
(这是测试拒绝TELNET登陆)
第三步:r3上的配置。(与标准ACL上的配置一样) clip_image098
(注:show ip interface 用来显示ACL是否正确配置。)
12.4.3. 配置命名访问控制列表
任务:不让192.168.0.3访问192.168.0.2 但0.2可以访问0.3
第一步:r2上的配置。
r2(config)#ip access-list extended sjd (扩展命名)
clip_image100
r2(config-ext-nacl)#deny icmp host 192.168.0.3 host 192.168.0.2 echo
clip_image102
r2(config-ext-nacl)#permit ip any any(允许其他任何IP流量)
clip_image104
r2(config-ext-nacl)#int e0/0 clip_image106
r2(config-if)#ip access-group cisco in
clip_image108
第二步:r1上测试。
r1#ping 192.168.0.2
clip_image002[9]