扩展ACL配置与调试
1.实验目标
在这个实验中,我们将在Cisco 2611XM路由器上配置扩展ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握扩展ACL的配置和调试。 2.实验拓扑
实验的拓扑结构如图1所示。
图1 ACL实验拓扑结构
3.实验要求
根据图1,设计扩展ACL,在R1路由器上禁止PC2所在网络的http请求和所有的telnet请求,但仍能互相ping通。 4.实验步骤
⑴、⑵、⑶、⑷步骤同实验13的操作完全相同,限于篇幅的,再这里就不一一讲述了。 ⑸ 分别在R1和R2上启动HTTP服务: R1(config)#ip http server R2(config)#ip http server
⑹ 在R1路由器上禁止PC2所在网络的http请求和所有的telnet请求,但允许能够互相ping通: ①在R1路由器上配置ACL:
R1(config)# access-list 101 deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq www
R1(config)# access-list 101 deny tcp any any eq 23 R1(config)# access-list 101 permit ip any any R1(config)#interface s0/0
R1(config-if)#ip access-group 101 in ②测试上述配置:
A.在PC2上访问10.1.1.1的WWW服务,结果是无法访问。 B.在PC2上访问192.168.100.1的WWW服务,结果如图2所示。
图2 在PC2上访问路由器R1的s0/0的结果
【问题1】:为什么在PC2上访问同一个路由器的不同端口,会出现不同的结果?
C. 在PC2上远程登录10.1.1.1和192.168.100.1的结果如图3所示。
图3 从PC2上telnet到路由器R1的不同的接口
D. 从PC2上ping10.1.1.1和192.168.100.1的结果如4所示。 【问题2】:为什么在C和D的测试结果却是相同的? ③查看定义ACL列表: R1#show access-lists Extended IP access list 101
deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq www (12 matches) deny tcp any any eq telnet (224 matches) permit ip any any (122 matches)
【问题3】:为什么我们定义ACL标号没有延续实验13的标号选为3,而是101? 【问题4】:“any”代表什么含义?
【问题5】:如果想拒绝PC2到主机10.1.1.2的FTP服务,应该怎样定义ACL?
图4 从PC2上ping到路由器R1的不同的接口
5.实验问题参
【问题1】:这是由我们所定义的ACL决定的,“access-list 101 deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq www”的含义是拒绝网络172.16.0.0到网络10.0.0.0的http请求,并没有拒绝到网络192.168.100.0的http请求,所以访问192.168.100.1可以成功,而访问10.1.1.1却被拒绝。 【问题2】:同样是由我们的ACL引起的,“access-list 101 deny tcp any any eq 23” 和
“access-list 101 permit ip any any”两条语句的源和目的都是“any”,也就是全部的,当然访问的结果是一样的。
【问题3】:因为扩展ACL标号的范围是100-199。 【问题4】:“any”代表“0.0.0.0 255.255.255.255”。
【问题5】:access-list 101 deny tcp host 172.16.1.1 host 10.1.1.1 eq 21
