路由器扩展ACL配置
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
操作方法
- 01
按拓扑图配置好路由器的主机名和显示名,注意安装拓扑图的接口编号连接各接口,并配置号主机的IP地址。
- 02
在R1上配置扩展ACL; 只允许主机PC2所在的网段的主机访问服务器S1的www服务,和路由器R2的Telnet服务。
- 03
PC2所在的网段主机ping不通其他主机或路由器。
- 04
在R2上删除前面配置的标准ACL及其应用。
- 05
在R3上配置扩展ACL;拒绝PC3所在的网络ping路由器R2。
- 06
验证配置: 验证路由. 验证ACL. ①验证路由器R1的ACL: PC2 telnet操作路由器R2,结果成功。
- 07
PC1 telnet操作路由器R2,结果不成功。
- 08
说明R1(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 23命令成功运行。 PC1 ping 路由器R1可以ping通,但ping PC2,超时:
- 09
说明PC2所在的网段主机ping不通其他主机或路由器这条ACL成功应用。 PC2浏览器浏览服务器S1网页成功:
- 10
PC2浏览器浏览服务器S1网页成功:
- 11
PC1浏览器浏览服务器S1网页请求超时: 说明R1(config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.5.2 0.0.0.255 eq www命令成功应用。
- 12
③验证路由器R3的ACL: PC3 ping 路由器R3,结果显示不可达: 说明路由器R3上的ACL成功应用。