实验2 扩展ACL

来源：网络收集时间：2019-08-17 下载这篇文档手机版

说明：文章内容仅供预览，部分内容可能不全，需要完整文档或者需要复制内容，请下载word后使用。下载word有问题请添加微信号:或QQ：处理（尽可能给您提供完整文档），感谢您的支持与谅解。

9.3 实验2：扩展ACL 1.实验目的

通过本实验可以掌握： ① 定义扩展ACL； ② 应用扩展ACL； ③ 扩展ACL调试。 2.拓扑结构

实验拓扑图如图9-1所示。

图9-1 标准ACL配置

本实验要求只允许PC2所在网段的主机访问路由器R2的WWW和Telnet服务，并拒绝PC3所在网段ping路由器R2.删除实验1定义的ACL，保留EIGRP配置。 3.实验步骤

（1）步骤1：配置路由器R1

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet R1(config)#interface g0/0

R1(config-if)#ip access-group 100 in （2）步骤2：配置路由器R2

R2(config)#no access-list 1 //删除ACL R2(config)#no access-list 2

R2(config)#ip http server //将路由器配置成Web服务器 R2(config)#line vty 0 4

R2(config-line)#password cisco R2(config-line)#login

（3）步骤3：配置路由器R3

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log R3(config)#access-list 101 permit ip any any R3(config)#interface g0/0

R3(config-if)#ip access-group 101 in 【技术要点】 ① 参数”log”会生成相应的日志信息，用来记录经过ACL入口的数据包的情况。 ② 尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上，这样创建的过滤器就不会反

过来影响其他接口上的数据流。另外，尽量使标准的访问控制列表靠近目的，由于标准访问控制列表只使用源地址，如果将其靠近源会阻止数据包流向其他端口。 4.实验调试

①分别在PC2上访问路由器R2的Telnet和WWW服务，然后查看访问控制列表100： R1#show ip access-lists Extended IP access list 100

10 permit tcp 172.16.1.0 0.0.0.255，host 2.2.2.2 eq www(8 matches) 20 permit tcp 172.16.1.0 0.0.0.255，host 192.168.12.2 eq www 30 permit tcp 172.16.1.0 0.0.0.255，host 192.168.23.2 eq www

40 permit tcp 172.16.1.0 0.0.0.255，host 2.2.2.2 eq telnet(20 matches) 50 permit tcp 172.16.1.0 0.0.0.255，host 192.168.12.2 eq telnet(4 matches) 60 permit tcp 172.16.1.0 0.0.0.255，host 192.168.23.2 eq telnet(4 matches)

②在PC3所在网段的主机ping 路由器R2，路由器R3会出现下面的日志信息

*Feb 25 17;35;46.383;%SEC-6-IPACCESSLOGDP;list 101 denied icmp ->2.2.2.2(0/0)，1 packet

*Feb 25 17;41;08.959;%SEC-6-IPACCESSLOGDP;list 101 denied icmp ->2.2.2.2(0/0)，4 packet

*Feb 25 17;42;46.919;%SEC-6-IPACCESSLOGDP;list 101 denied icmp ->192.168.12.2(0/0)，1 packet

*Feb 25 17;42;56.803;%SEC-6-IPACCESSLOGDP;list 101 denied icmp ->192.168.23.2(0/0)，1 packet

以上输出说明访问控制列表101在有匹配数据包的时候，系统做了日志。 ③在路由器R3上查看访问控制101： R3#show ip access-lists Extended IP access list 100

10 permit icmp 172.16.3.0 0.0.0.255，host 2.2.2.2 log(5 matches)

20 permit icmp 172.16.3.0 0.0.0.255，host 192.168.12.2 log(5 matches) 30 permit icmp 172.16.3.0 0.0.0.255，host 192.168.23.2 e log(5 matches) 40 permit icmp any any(5 matches)

172.16.3.1 172.16.3.1 172.16.3.1 172.16.3.1

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库实验2 扩展ACL在线全文阅读。

实验2 扩展ACL.doc 将本文的Word文档下载到电脑，方便复制、编辑、收藏和打印下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档

本文链接：https://www.77cn.com.cn/wenku/jiaoyu/681015.html（转载请注明文章来源）

上一篇：定语从句总结
下一篇：桑塔纳2000燃油供给系统的故障检修