拓扑图
Addressing Table
地址表
|
Device |
Interface |
IP Address |
Subnet Mask |
Default Gateway |
|
R1 |
Fa0/1 |
172.134.1.1 |
255.255.255.0 |
N/A |
| S0/0/0 |
172.134.12.1
|
255.255.255.0 |
N/A |
|
| Fa0/0 |
172.134.2.1 |
255.255.255.0 |
N/A |
|
|
R2 |
S0/0/0 |
172.134.12.2 |
255.255.255.0 |
N/A |
| S0/0/1 |
172.134.23.2 |
255.255.255.0 |
N/A |
|
|
R3 |
Fa0/0 |
172.134.3.3 |
255.255.255.0 |
N/A |
| S0/0/1 |
172.134.23.3 |
255.255.255.20 |
N/A |
|
| PC-0 |
NIC |
172.134.1.100 |
255.255.255.0 |
172.134.1.1 |
| PC-1 |
NIC |
172.134.2.100 |
255.255.255.0 |
172.134.2.1 |
| Server-0 |
NIC |
172.134.3.100 |
255.255.255.0 |
172.134.3.3 |
1.测试网络联通
主机0 ping服务器0
服务器0ping主机1
2.实验步骤
要求:
拒绝PC1 所在网段访问Server 172.16.3.100 的Web 服务
拒绝PC2 所在网段访问Server 172.16.3.100 的Ftp 服务
拒绝PC1 所在网段访问Server 172.16.3.100 的SQL 服务
拒绝PC1 所在网段访问路由器R3 的Telnet 服务
拒绝PC2 所在网段访问路由器R2 的Web 服务
拒绝PC1 和PC2 所在网段ping Server 服务器
只允许路由器R3 以接口s0/0/1 为源ping 路由器R2 的接口s0/0/1 地址,而不允许路
由器R2 以接口s0/0/1 为源ping 路由器R3 的接口s0/0/1 地址,即单向ping.
配置路由器
R1(config)#access-list 110 remark this is an example for extended acl
//添加备注,增加可读性
R1(config)#access-list 110 deny tcp 172.134.1.0 0.0.0.255 host 172.134.3.100 eq 80
//拒绝PC1 所在网段访问Server 172.134.3.100 的Web 服务
R1(config)#access-list 110 deny tcp 172.134.2.0 0.0.0.255 host 172.134.3.100 eq 21
R1(config)#access-list 110 deny tcp 172.134.2.0 0.0.0.255 host 172.134.3.100 eq 20
//拒绝PC2 所在网段访问Server 172.134.3.100 的Ftp 服务
R1(config)#access-list 110 deny tcp 172.134.1.0 0.0.0.255 host 172.134.3.100 eq
1433
//拒绝PC1 所在网段访问Server 172.134.3.100 的SQL 服务
R1(config)#access-list 110 deny tcp 172.134.1.0 0.0.0.255 host 172.134.23.3 eq 23
R1(config)#access-list 110 deny tcp 172.134.1.0 0.0.0.255 host 172.134.3.3 eq 23
//拒绝PC1 所在网段访问路由器R3 的Telnet 服务
R1(config)#access-list 110 deny tcp 172.134.2.0 0.0.0.255 host 172.134.12.2 eq 80
R1(config)#access-list 110 deny tcp 172.134.2.0 0.0.0.255 host 172.134.23.2 eq 80
//拒绝PC2 所在网段访问路由器R2 的Web 服务
R1(config)#access-list 110 deny icmp 172.134.1.0 0.0.0.255 host 172.134.3.100
R1(config)#access-list 110 deny icmp 172.134.2.0 0.0.0.255 host 172.134.3.100
//拒绝PC1 和PC2 所在网段ping Server 服务器
R1(config)#access-list 110 permit ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group 110 out //接口下应用ACL
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 172.134.23.2 host 172.134.23.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s0/0/1
R3(config-if)#ip access-group 120 in
路由器R1 上查看ACL110
路由器R3 和路由器R2 互相ping
路由器R3 查看ACL 120
配置命令扩展ACL
R3(config)#ip access-list extended acl120
R3(config-ext-nacl)#deny icmp host 172.16.23.2 host 172.16.23.3 echo
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#int s0/0/1
R3(config-if)#ip access-group acl120 in
R3#show ip access-lists
