技术原理
访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域。
扩展IP访问列表(编号100-199,2000-2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
扩展IP访问列表的配置包括以下两步:
定义扩展IP访问列表。
将扩展IP访问列表应用于特定接口上。
实验步骤
新建Packet Tracer拓扑图(如下图)
(1)分公司出口路由器与外部路由器之间通过V.35串口电缆连接,DCE端连接在R2上,配置其时钟频率000;主机与路由器通过交叉线连接。
(2)配置PC机、服务器及路由器接口IP地址。
(3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才能涉及到访问控制列表。
(4)在R2上配置编号的IP扩展访问控制列表。
(5)将扩展IP访问列表应用到接口上。
(6)验证主机之间的互通性。
路由器0:
Router>en
Router#conf t
Router(config)#int fastEthernet 0/0
Router(config-if)#ip address 172.16.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int f 1/0
Router(config-if)#ip address 172.16.2.1 255.255.255.0
Router(config-if)#no shut
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2(设置默认静态路由)
Router(config)#end
路由器1:
Router>en
Router#conf t
Router(config)#int f 0/0
Router(config-if)#ip address 172.16.2.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int s 2/0
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#clock rate 000
Router(config-if)#exit
Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1(设置静态路由)
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2(设置静态路由)
Router(config)#end
Router#show ip route
172.16.0.0/24 is subnetted, 4 subnets
S 172.16.1.0 [1/0] via 172.16.2.1
C 172.16.2.0 is directly connected, FastEthernet0/0
C 172.16.3.0 is directly connected, Serial2/0
S 172.16.4.0 [1/0] via 172.16.3.2
Router#conf t
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Router(config)#access-list 100 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
Router(config)#access-list 100 p
Router(config)#access-list 100 permit ?
eigrp Cisco's EIGRP routing protocol
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config)#access-list 100 permit tcp ?
A.B.C.D Source address
any Any source host
host A single source host
Router(config)#access-list 100 permit tcp ho
Router(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 ?
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
Router(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq ? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80) Router(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www Router(config)#access-list 100 ? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment Router(config)#access-list 100 deny ? eigrp Cisco's EIGRP routing protocol icmp Internet Control Message Protocol ip Any Internet Protocol ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol Router(config)#access-list 100 deny icmp host 172.16.1.2 host 172.16.4.2 Router(config)#int s 2/0 Router(config-if)#ip access-group 100 out Router(config-if)#end 路由器2: Router>en Router#conf t Router(config)#int s 2/0 Router(config-if)#ip address 172.16.3.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int f 0/0 Router(config-if)#ip address 172.16.4.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1(设置默认静态路由) Router(config)#end
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
