在实验34的基础上删除标准访问控制列表,添加扩展访问控制列表
RA
Router(config)#int s1/0 Router(config-if)#no ip access-group test out Router#configure terminal Router(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list Router(config)#access-list 110 permit tcp 210.31.10.0 0.0.0.255 200.200.200.2 0.0.0.0 eq 80//web服务 Router(config)#access-list 110 deny icmp 210.31.10.0 0.0.0.255 any Router(config)#access-list 110 permit icmp 210.31.10.0 0.0.0.255 any Router(config)#access-list 110 deny icmp 210.31.20.0 0.0.0.255 any Router(config)#int s1/0 Router(config-if)#ip access-group 110 out
结果:
主机0、主机1都能访问web/http服务器,但主机1不能ping通http服务器,主机0不能ping通http服务器
实验内容
(1) 按图配置各台路由器接口和计算机的 IP 地址。
(2) 在 C2811A 和 C2811B 上分别运行 RIP 路由协议,使得两台路由器可以相互学习路由信息。
(3) 参阅教材中内容,在 C2811A 上配置扩展访问控制列表,允许 210.31.10.0/24 和 210.31.20.0 访问外部的Web 服务,允许 210.31.10.0/24 使用 ICMP 协议访问外部,不允许 210.31.20.0/24 使用 ICMP 协议访问外部,其他任何访问均拒绝通过。
(4) 分别在 210.31.10.2 和 210.31.20.2 上使用 Web Browser 访问服务器 200.200.200.2 的 Web 服务,均能访问,210.31.10.2 与 200.200.200.2 之间可以 ping 通,210.31.20.2 与 200.200.200.2 之间不能 ping 通。
(5) 完成以上配置之后使用 show ip access-lists 查看访问控制列表配置的内容。
3. 实验要求
掌握访问控制列表的概念,理解扩展访问控制列表可以根据源地址、目的地址、源端口、目的端口、协议类型等进行过滤,掌握扩展访问控制列表的配置方法和命令。
(1) 结果分析与概念理解
扩展访问控制列表,同样也有编号和命名两种配置方式
编号的配置方式,编号为 100-199,
创建扩展访问控制列表,定义 permit 或 deny 语句,应用于路由器接口的 in 或 out方向
命名的配置方式
创建扩展访问控制列表,定义 permit 或 deny 语句,应用于路由器接口的 in 或 out方向
扩展访问控制列表
Permit 协议 源地址 源地址的通配符掩码 目的地址 目的地址的通配符掩码 端口号
Deny 协议 源地址 源地址的通配符掩码 目的地址 目的地址的通配符掩码 端口号
可以使用Show ip accest-list