思科ACL配置与扩展

一．实验目的

（1）.掌握基本ACL

（2）.掌握扩展ACL

（3）.学会如何应用ACL

二.实验器材：

三台路由器，三台PC，两台服务器，若干线缆

三．实验拓扑图

四．实验内容

1．在基本访问控制列表中让10.0.2.1不能访问服务器，其他电脑可以访问服务器

命令如下：

在ROUTER1中

R2(config)#access-list1 deny 10.0.2.1

R2(config)#access-list1 permit any

R2(config)#interfaces1/1

R2(config-if)#ipaccess-group 1 in

2.在扩展访问控制列表中

（1）.拒绝10.0.2.1 访问web服务器，允许其他网络访问web服务器

命令如下：

R2(config)#access-list 100 deny ip host10.0.2.0 host  20.0.0.1

R2(config)#access-list 100 permit ip anyany

R2(config)#interface s1/1

R2(config-if)#ip access-group 100 in

（2）.拒绝10.0.2.0/24访问web服务器内页，其他网络都能访问。仅仅限制网页访问

命令如下：

R2(config)#access-list 101 deny tcp10.0.2.0 0.0.0.255 host 20.0.0.1 eq 80

R2(config)#access-list 101 permit ip anyany

R2(config)#int s1/1

R2(config-if)#ip access-group 101 in

3.ROUTER1启动Telnet，只允许50.0.0.0/24网络远程登录

命令如下：

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 30.0.0.2 eq telnet

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 40.0.0.1 eq telnet

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 20.0.0.254 eq telnet

R2(config)#access-list 102 permit tcp50.0.0.0 0.0.0.255 host 60.0.0.254 eq telnet

R2(config)#access-list 102 deny tcp anyhost 30.0.0.2 eq telnet

R2(config)#access-list 102 deny tcp anyhost 20.0.0.254 eq telnet

R2(config)#access-list 102 deny tcp anyhost 60.0.0.254 eq telnet

R2(config)#access-list 102 deny tcp anyhost 40.0.0.1 eq telnet

R2(config)#int s1/1

R2(config-if)#ip access-group 102 in

注意：

标准ACL不能指定目的地址，所以需要把标准的ACL 放置在尽量靠近目标的地方

尽量将扩展ACL放置在靠近被被拒绝的数据源