ACL实验配置.docVIP

ACL实验配置 ACL 高度总结：(以下总结希望都去做实验验证一下) 为了避免 ACL 过多，号不够用，标准列表和扩展列表的范围进行了扩充 标准：1-99，1300-1999 扩展：100-199 ，2000-2699 2．路由器上的 ACL 不对自己产生的流量产生作用。 3．ACL 没有定义内容，就相当于不存在。 4．ACL 在一个接口的一个方向上只能配置一个访问列表，后面的会覆盖前面的 5．不论是标准还是扩展列表，每个条目之间都是一个鼻孔出 气，想要去掉某一个条目，实现不了，要么都去掉，要么都存在；但是命名的访问列表可以去掉单独的某一条目。添加的条目会自动添加在末尾，不能在中间添加 我们现在把R1和R5作为PC机，在R2、R3、R4上运行RIP v2，保障路由畅通。 标准ACL： 要求： 192.168.1.0网络的数据不能访问192.168.4.0网络 1、我们先在R2上配置ACL： access-list 1deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0的数据通过 access-list 1 permit any 允许其它网络的数据通过 在接口上应用： interface Serial0(fa0/0) ip access-group 1 in 在s0口的进方向上应用ACL1 测试： 用R1去ping 192.168.4.2，我们发现ping不通，说明ACL生效了，但是我们用R1去ping其它的网络，比如ping 172.16.1.1,也ping不通，因为标准ACL只能对源进行控制，现在R2拒绝了来自192.168.1.0的数据，不管是到哪儿去的，所以R1现在哪儿都去不了。 在R2上用扩展的ping ，用192.168.1.2这个s0口的地址去ping 192.168.4.2，我们发现可以ping通，这是因为对于路由器自己产生的数据，ACL不起作用。 2、我们在R4上配置ACL： access-list 1deny 192.168.1.0 0.0.0.255 access-list 1 permit any 在接口上应用： interface Serial1 ip access-group 1 out 在s0口的出方向上应用ACL1 在R2上把ACL去掉。 测试： 用R1去ping 192.168.4.2，ping不通，但是用R1去ping其它的网络，比如ping 172.16.1.1，可以ping通。 所以标准的ACL应该用在离目标最近的接口上。 扩展ACL： 要求：只允许192.168.1.1可以Telnet到192.168.3.2 把R4上的ACL去掉。 1、在R2上配置ACL：扩展的ACL应该用在离源最近的接口上 access-list 101 permit tcp host 192.168.1.1 host 192.168.3.2 eq 23 Telnet 用的是TCP协议，端口号是23 在接口上应用： interface Serial0(fa0/0) ip access-group 101 in 2、在R4上配置Telnet： enable secret xxx line vty 0 15 login password xxx 3、测试： 在R1上Telnet 192.168.3.2，可以登录， 再ping 192.168.3.2，发现ping 不通。 扩展ACL： 要求：允许192.168.1.1可以ping通192.168.4.2，但是192.168.4.2 ping 不通192.168.1.1。 Ping 有两个过程，一个是源发的echo数据包到目的，另一个是目的返回的echo-reply数据包 把R2上之前的ACL去掉 在R2上配置ACL： access-list 101 deny icmp host 192.168.1.1 host 192.168.4.2 echo-reply ping 用的是ICMP协议 拒绝从192.168.1.1到192.168.4.2返回的ping包 access-list 101 permit ip any any 允许其它数据包通过 在接口上