中国CCIE试验室.doc

HYPERLINK /archiver/ 中国CCIE实验室---思科华为网络技术论坛 ? HYPERLINK /archiver/?fid-8.html ≡□≡ CCNA/CCDA≡□≡ ? ACL(访问控制列表)配置实验 HYPERLINK /viewthread.php?tid=2410 \t _blank 查看完整版本: ACL(访问控制列表)配置实验 乡巴佬 2007-9-13 09:08 ACL(访问控制列表)配置实验 [color=Red]实验要求标准访问控制列表： 只允许网段1和网段2之间互相访问 扩展访问控制列表： 只允许网段1(/24)访问R2路由器内部的WWW服务和PING服务，拒绝访问该服务器上的其他服务； 只允许网段2(/24)访问R3路由器内部的TFTP服务和PING服务，拒绝访问该服务器上的其他服务。 做访问控制列表实验之前我已经在各个路由器上配置了动态路由协议，使整个网络拓扑是连通的。所以，大家在做访问控制列表实验之前，先配置好路由(动态/静态)，网络运行正常后再配置访问控制列表标准访问控制列表配置：只允许网段1和网段2之间互相访问R1配置：R1#conf tR1(config)#access-list 1 deny 55R1(config)#access-list 1 deny 55R1(config)#access-list 1 permit anyR1(config)#int f0/0R1(config-if)#ip access-group 1 out测试：在PC1上ping PC2()PC1#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 108/227/312 ms测试结果为可以访问在PC1上PING R2路由器的内部网络()PC1#ping ??Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)测试结果是不能访问在PC2上PING PC1()PC2#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 72/176/216 ms测试结果为可以访问在PC2上PING R3路由器的内部网络()PC2#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)测试结果为不能访问扩展访问控制列表配置：只允许网段1(/24)访问R2路由器内部的WWW服务和PING服务，拒绝访问该服务器上的其他服务；只允许网段2(/24)访问R3路由器内部的TFTP服务和PING服务，拒绝访问该服务器上的其他服务。因为先前我们已经配置了一个标准访问控制列表，为了不影响下一步的实验，现在我们先将其删除R1#show access-lists Standard IP access list 1? ? 10 deny? ?, wildcard bits 55 (8 matches)? ? 20 deny? ?, wildcard bits 55 (16 matches)? ? 30 permit anyR1#conf tR1(config)#int f0/0R1(config-if)#no ip access-group 1 outR1(config-if)#exit? ? R1(config)#no access-list 1 R1(config)#endR1#show access-listsR1#好了，现在我们开始配置扩展的访问控制列表了，根据上面的要求来做R1配置：R1#conf tR1(config)#access-list 101 permit