实验拓扑图:
R1--f0/0-----f0/0--R2--f1/0(.1)-----f0/0--R3
IP地址规划:
R1:f0/0-------202.100.10.1/24
R2:f0/0-------202.100.10.2/24; f1/0-------202.100.20.1/24
R3:f0/0-------202.100.20.2/24
一、基本网络配置
1、R1路由器的基本网络配置
enable
configure terminal
interface f0/0
ip address 202.100.10.1 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 202.100.10.2
exit
write
2、R2路由器的基本网络配置
enable
configure terminal
interface f0/0
ip address 202.100.10.2 255.255.255.0
no shutdown
interface f1/0
ip address 202.100.20.1 255.255.255.0
no shutdown
exit
exit
write
3、R3路由器的基本网络配置
enable
configure terminal
interface f0/0
ip address 202.100.20.2 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 202.100.20.1
line vty 0
pass 123
login
exit
enable pass abc
exit
write
4、连通性测试:
R1#ping 202.100.20.2(能ping通R3路由器的f0/0接口)
R1#telnet 202.100.20.2(能远程登录R3路由器)
二、标准ACL配置(R3路由器上的全局模式下配置):
1、标准ACL
标准ACL的编号为1-99
标准ACL只能对IP报文的源地址做限制
permit:允许IP报文通过
deny:拒绝报文通过(丢弃)
通配符掩码:ACL条目中的IP地址后面跟的时:通配符掩码,不是子网掩码
通配符掩码的计算:(255.255.255.255)减(子网掩码)
例如:子网掩码为:255.255.255.0,通配符掩码为:0.0.0.255
通配符掩码的含义:
二进制0:表示检查
二进制1:表示忽略(不检查)
2、标准ACL语法:
access-list 编号(1-99) permit|deny 源IP地址 通配符掩码
特殊关键字:
host :表示单个主机的IP地址
(例如:host 192.168.10.1,也可表示为:192.168.10.1 0.0.0.0)
any: 表示任意IP地址,即:0.0.0.0 255.255.255.255
3、标准ACL配置(R3路由器上的全局模式下配置)
configure terminal
access-list 1 deny 202.100.10.1 0.0.0.0(禁止R1路由器访问R3)
或者:(access-list 1 deny host 202.100.10.1)
access-list 1 permit any(允许任意主机访问R3路由器)
或者:(access-list 1 permit 0.0.0.0 255.255.255.255)
4、在接口上应用ACL
interface f0/0
ip access-group 1 in
方向:
in (IP报文从路由器接口进入时,应用ACL)
out(IP报文从路由器接口出去时,应用ACL)
5、连通性测试:
R1#ping 202.100.20.2(失败)
R2#ping 202.100.20.2(成功)
三、扩展ACL配置(R3路由器上的全局模式下配置)
1、扩展ACL语法:
access-list 扩展ACL编号(100-199) permit|deny 协议名(IP、ICMP、TCP、UDP) 源IP地址 通配符掩码 目的IP地址 通配符掩码 eq 服务名(或端口号)
2、扩展ACL
扩展ACL的编号为100-199
扩展ACL可以限制:
IP报文的源地址、目标地址
协议(IP、ICMP、TCP、UDP)
源端口(TCP、UDP)
目标端口(TCP、UDP)
3、扩展ACL配置
exit
access-list 100 deny tcp host 202.100.10.1 host 202.100.20.2 eq telnet(禁止R1以Telnet方式访问R3)
或者:(access-list 100 deny tcp 202.100.10.1 0.0.0.0 202.100.20.2 0.0.0.0 eq 23)
access-list 100 permit tcp any any
interface f1/0
ip access-group 100 in
exit
exit
show access-list
show access-list 1
show access-list 100
4、连通性测试
R3(config)#no access-list 1
R1#telnet 202.100.20.2(远程登录R3路由器失败)
R2#telnet 202.100.20.2(远程登录R3路由器成功)
来源:CSDN
作者:(ฅ'ω'ฅ)♪青柚
链接:https://blog.csdn.net/weixin_41432553/article/details/89531052