問題
在網路中很有可能要允許或拒絕的並不是某乙個源ip位址,而是根據目標位址或是協議來匹配。但是標準訪問控制列表只能根據源ip位址來決定是否允許乙個資料報通過。
1)配置擴充套件acl實現拒絕pc2(ip位址為192.168.0.20)訪問web server的web服務,但可訪問其他服務。
方案為了實現更靈活、列精確的網路控制就需要用到擴充套件訪問控制列表了。
擴充套件ip訪問控制列表比標準ip訪問控制列表具有更多的匹配項,包括協議型別、源位址、目的位址、源埠、目的埠、建立連線的和ip優先順序等。
網路拓撲如圖所示:
步驟實現此案例需要按照如下步驟進行。
步驟一:將1配置標準acl中的標準訪問控制列表移除,其他配置保留tarena-r2(config-if)#no ip access-group 1 out
tarena-r2(config)#no access-list 1
步驟二:在pc1和pc2上驗證到web server的http協議訪問,如圖3和圖-4所示:
在沒有配置擴充套件acl的時候,兩台主機均可以正常訪問到web server。
步驟三:r1上配置擴充套件訪問控制列表,僅拒絕pc2到web server的http訪問tarena-r1(config)#access-list 100 deny tcp host 192.168.0.20 host 192.168.2.100 eq www
tarena-r1(config)#access-list 100 permit ip any any
tarena-r1(config)#inte***ce f0/0
tarena-r1(config-if)#ip access-group 101 in
步驟四:在pc1上驗證
從輸入結果可以驗證,pc1到web server的訪問沒有受到任何影響。
步驟五:在pc2上進行驗證
因為只限制了到web server的http訪問,所以web服務已經無法訪問,但是仍然可以ping通。
tarena-r1#show ip access-lists
extended ip access list 100
deny tcp host 192.168.0.20 host 192.168.2.100 eq www (30 match(es))
permit ip any any (5 match(es))
路由器的輸出表明了拒絕了30個來自pc1到web server的http訪問包。
思科高階配置 配置擴充套件命名ACL
問題 使用基本編號的acl沒有實際意義,只有通過閱讀具體的條目才能得知該acl的作用。而且acl的編號有限制,如傳統的標準acl用199表示,擴充套件acl用100199表示。1 配置擴充套件命名acl實現拒絕pc2 ip位址為192.168.0.20 訪問web server web服務,但可訪問...
配置高階ACL
配置高階acl 2.1 問題 如圖配置ip位址 允許client1訪問server1的web服務 允許client1 訪問網路 192.168.2.0 24 禁止client1 訪問其他網路 2.2 方案 搭建實驗環境,如圖 2所示。圖 22.3 步驟 實現此案例需要按照如下步驟進行。1 配置終端裝...
思科高階配置 RIP動態路由配置
問題 在相對較小而且結構不變的網路中,靜態路由是很好的解決方案,它配置簡單而且不過多消耗裝置資源 動態路由協議在執行時要消耗路由器內部資源,在與其他路由器更新資訊時又會消耗網路資源 然而在大型網路中,網路非常多,而且很有可能因為某些因素的影響,網路拓撲會有輕微變化。這時如果仍然採用靜態路由就非常不方...