CISCO 配置實驗 --擴展訪問控制列表

擴展訪問控制列表

拓撲

實例（1）

在R1上做訪問控制列表，拒絕192.168.1.0 網段 PING通192.168.2.2，其它允許。

r1(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2

r1(config)#access-list 101 permit icmp any any

r1(config)#interface fastEthernet 0/0

r1(config-if)#ip access-group 101 in

--也可在以下端口使用綁定

r1(config)#interface s 0/0

r1(config-if)#ip access-group 101 out

 

實例（2）

在R2上做訪問控制列表，拒絕192.168.1.2 PING通192.168.2.2，其它允許。

r2(config)#access-list 101 deny icmp host 192.168.1.2 host 192.168.2.2

r2(config)#access-list 101 permit icmp any any

r2(config)#interface serial 0/0

r2(config-if)#ip access-group 101 out

 

在R2上做訪問控制列表，拒絕192.168.2.2 PING通192.168.3.2，其它允許。

r2(config)#access-list 101 deny icmp host 192.168.2.2 host 192.168.3.2

r2(config)#access-list 101 permit icmp any any

r2(config)#interface fastEthernet 0/0

r2(config-if)#ip access-group 101 in

 

實例（3）

在R3上做訪問控制列表，拒絕192.168.3.2 PING通192.168.2.2，其它允許。

 

r3(config)#access-list 101 deny icmp host 192.168.3.2 host 192.168.2.2

r3(config)#access-list 101 permit icmp any any

r3(config)#interface serial 0/0

r3(config)#interface fastEthernet 0/0

r3(config-if)#ip access-group 101 in

--------------------------------------------------------------------

實例（4）

在R2上拒絕192.168.1.2 PING通192.168.3.2，其它允許

r2(config)#access-list 101 deny icmp host 192.168.1.2 host 192.168.3.2

r2(config)#access-list 101 permit icmp any any

r2(config)#interface serial 0/0

r2(config-if)#ip access-group 101 out

 

 

 

如果想理解IN和OUT的擺放位置，哪須要做和看懂以上實例

 

 

實例（5）

 在R1上做訪問控制列表，拒絕192.168.1.2 TELNET 192.168.3.1，其它允許

 

r1(config)#access-list 101 deny tcp host 192.168.1.2 host 192.168.3.1 eq 23

r1(config)#access-list 101 permit tcp any any

r1(config)#interface serial 0/0

r1(config-if)#ip access-group 101 out

 

實例（6）

    第一條拒絕192.168.1.2訪問192.168.3.3上的WWW服務。第二條拒絕192.168.3.2訪問192.168.1.3上的WWW服務。第三條拒絕192.168.1.0網段訪問192.168.3.0網段。拒絕192.168.1.4TELNET 192.168.2.1

r2(config)#access-list 101 deny tcp host 192.168.1.2 host 192.168.3.3 eq www

r2(config)#access-list 101 deny tcp host 192.168.3.2 host 192.168.1.3 eq www

r2(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

r2(config)#access-list 101 deny tcp host 192.168.1.4 host 192.168.2.1  eq 23

r2(config)#access-list 101 permit tcp any any

r2(config)#access-list 101 permit icmp any any

r2(config)#interface serial 0/0

r2(config-if)#ip access-group 101 out

r2(config)#interface serial 0/1

r2(config-if)#ip access-group 101 out

 

實例（7）

拒絕TELNET 到路由器192.168.1.1

r1(config)#access-list 101 deny tcp any host 192.168.1.1 eq telnet

r1(config)#access-list 101 permit tcp any any

r1(config)#interface serial 0/0

r1(config-if)#ip access-group 101 in