CCNA配置试验之六标准ACL和扩展ACL的配置
4550 点击·0 回帖
灯火互联
楼主
 |  | |
 | 访问控制列表分为标准访问控制列表和扩展访问控制列表: 标准ACL 检查源地址 通常允许、拒绝的是完整的协议 扩展ACL 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 今天我们来配置这两种访问控制列表: 标准访问控制列表  试验要求:利用标准访问控制列表 禁止192.168.2.1 ping 192.168.4.2 其他主机都允许对192.168.4.2做ping操作 试验步骤: 一.按照试验拓扑图,给各接口分配IP,并在路由器间配置eigrp协议,配置eigrp协议请参看CCNA配置试验之三 EIGRP协议的配置 二.设置标准访问控制列表 r4(config)#access-list 1 deny host 192.168.2.1 r4(config)#access-list 1 permit 0.0.0.0 255.255.255.255 r4(config)#int s0/2 r4(config-if)#ip access-group 1 in ok标准ACL配置完成。 接下来我们来验证 r1#ping 192.168.4.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds: U.U.U r2#ping 192.168.4.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 432/577/664 ms r3#ping 192.168.4.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.4.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 72/219/448 ms 验证结果表明:R1 ping 不通192.168.4.2.而R2 R3能ping通192.168.4.2 试验成功! 扩展访问控制列表  试验要求: 拒绝192.168.4.2 ping 192.168.2.1 禁止192.168.3.2 telnet 192.168.2.1 其他访问都允许。 下面开始配置试验: R1 Router>en Router#conf t Enter configuration commands, .e per line. End with CNTL/Z. Router(config)#host r1 enable password cisco 定义特权口令 r1(config)#line vty 0 4 定义telnet口令 r1(config-line)#password ccna r1(config-line)#login r1(config-line)#exit r1(config)#int s0/0 给接口分配ip r1(config-if)#ip addr 192.168.2.1 255.255.255.0 r1(config-if)#no shut r1(config-if)#exit r1(config)#router eigrp 100 配置eigrp路由协议 r1(config-router)#network 192.168.2.0 R2 Router>en Router#conf t Enter configuration commands, .e per line. End with CNTL/Z. Router(config)#host r2 r2(config)#enable password cisco r2(config)#line vty 0 4 r2(config-line)#password ccna r2(config-line)#login r2(config-line)#exit r2(config)#int s0/0 r2(config-if)#ip addr 192.168.2.2 255.255.255.0 r2(config-if)#no shut r2(config-if)#exit r2(config)#int s0/1 r2(config-if)#ip addr 192.168.3.1 255.255.255.0 r2(config-if)#no shut r2(config-if)#exit r2(config)#router eigrp 100 r2(config-router)#network 192.168.2.0 r2(config-router)#network 192.168.3.0 r2(config-router)#exit R3 Router>en Router#conf t Enter configuration commands, .e per line. End with CNTL/Z. Router(config)#host r3 r3(config)#enable password cisco r3(config)#line vty 0 4 r3(config-line)#password ccna r3(config-line)#login r3(config-line)#exit r3(config)#int s0/1 r3(config-if)#ip addr 192.168.3.2 255.255.255.0 r3(config-if)#no shut r3(config-if)#exit r3(config)#int s0/2 r3(config-if)#ip addr 192.168.4.1 255.255.255.0 r3(config-if)#no shut r3(config-if)#exit r3(config-router)#network 192.168.3.0 r3(config-router)#network 192.168.4.0 r3(config-router)#exit R4 Router>en Router#conf t Enter configuration commands, .e per line. End with CNTL/Z. Router(config)#host r4 r4(config)#enable password cisco r4(config)#line vty 0 4 r4(config-line)#password ccna r4(config-line)#login r4(config-line)#exit r4(config)int s0/2 r4(config)ip addr 192.168.4.2 255.255.255.0 r4(config-if)#no shut r4(config-if)#exit r4(config)#router eigrp 100 r4(config-router)#network 192.168.4.0 基本配置完成! 下面配置扩展ACL。 r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo r2(config)#access-list 100 deny icmp 192.168.4.2 0.0.0.0 192.168.2.1 0.0.0.0 echo-reply r2(config)#access-list 100 deny tcp 192.168.3.2 0.0.0.0 192.168.2.1 0.0.0.0 eq 23 r2(config)#access-list 100 permit ip any any r2(config)#int s0/0 r2(config-if)#ip access-group 100 out 配置完成! 验证 r4#ping 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) r4#telnet 192.168.2.1 Trying 192.168.2.1 ... Open User Access Verification Password: r1> R4不能ping通R1,但是能telnet上R1 r3#ping 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 284/369/436 ms r3#telnet 192.168.2.1 Trying 192.168.2.1 ... % Destination unreachable; gateway or host down R3能ping通R1但是却telnet不上R1 O了,试验成功! | |
 |  |