配置扩展ACL

二、配置扩展ACL

实验目标：

在网络中很有可能要允许或拒绝的并不是某一个源IP地址，而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。

配置扩展ACL允许pc1访问pc4的www服务但拒绝访问PC4的其他服务，PC2、PC3无限制。

实验方案：

为了实现更灵活、列出精确的网络控制就需要用到扩展访问控制列表了。

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

网络拓扑如下图所示：

实验步骤：

步骤一：在三台路由器中配置IP、RIP动态路由实现全网互通。

tarena-R1(config)#interface fastEthernet 0/0tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0tarena-R1(config-if)#no shutdowntarena-R1(config-if)#exittarena-R1(config)#interface fastEthernet 0/1tarena-R1(config-if)#ip address 192.168.2.1 255.255.255.0tarena-R1(config-if)#no shutdowntarena-R1(config-if)#exittarena-R1(config)#router riptarena-R1(config-router)#no auto-summarytarena-R1(config-router)#versiontarena-R1(config-router)#network 192.168.1.0tarena-R1(config-router)#network 192.168.2.0tarena-R2(config)#interface fastEthernet 0/1tarena-R2(config-if)#ip address 192.168.2.2 255.255.255.0tarena-R2(config-if)#no shutdowntarena-R2(config-if)#exittarena-R2(config)#interface fastEthernet 0/0tarena-R2(config-if)#ip address 192.168.3.1 255.255.255.0tarena-R2(config-if)#exittarena-R2(config)#router riptarena-R2(config-router)#version 2tarena-R2(config-router)#no auto-summarytarena-R2(config-router)#network 192.168.2.0tarena-R2(config-router)#network 192.168.3.0tarena-R3(config)# interface fastEthernet 0/0tarena-R3(config-if)#ip add 192.168.3.2 255.255.255.0tarena-R3(config-if)#no shutarena-R3(config-if)#exittarena-R3(config)#interface fastEthernet 0/1tarena-R3(config-if)#ip address 192.168.4.254 255.255.255.0tarena-R3(config-if)#no shutdowntarena-R3(config-if)#exittarena-R3(config)#router riptarena-R3(config-router)#version 2tarena-R3(config-router)#no auto-summarytarena-R3(config-router)#network 192.168.3.0tarena-R3(config-router)#network 192.168.4.0

步骤二：开启192.168.4.1的http服务后在PC1、PC2和PC3上验证到Web Server的HTTP协议访问，均如下图所示：

在没有配置扩展ACL的时候，主机均可以正常访问到Web Server。

步骤三：R1上配置扩展访问控制列表，PC1仅允许到Web Server的HTTP服务（不允许访问其他服务），PC2、PC3无限制

扩展ACL可以对数据包中的源、目标IP地址以及端口号进行检查，所以可以将该ACL放置在通信路径中的任一位置。但是，如果放到离目标近的地方，每台路由器都要对数据进行处理，会更多消耗路由器和带宽资源。放到离源最近的路由器端口的入方向直接就将拒绝数据丢弃，可以减少其他路由器的资源占用以及带宽占用。

tarena-R1(config)#access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80tarena-R1(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.4.1tarena-R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1tarena-R1(config)#interface fastEthernet 0/0tarena-R1(config-if)#ip access-group 100 in

步骤四：在PC1上验证

PC>ipconfigFastEthernet0 Connection:(default port)Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CCIP Address......................: 192.168.1.1Subnet Mask.....................: 255.255.255.0Default Gateway.................: 192.168.1.254PC>ping 192.168.4.1Pinging 192.168.4.1 with 32 bytes of data:Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Ping statistics for 192.168.4.1:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),PC>

HTTP协议的验证如下图所示：

从输入结果可以验证，PC1到Web Server的http服务访问没有受到影响但不能ping通Web Server。

步骤五：在PC2上进行验证

PC>ipconfigFastEthernet0 Connection:(default port)Link-local IPv6 Address.........: FE80::209:7CFF:FED5:B0E4IP Address......................: 192.168.1.2Subnet Mask.....................: 255.255.255.0Default Gateway.................: 192.168.1.254PC>ping 192.168.4.1Pinging 192.168.4.1 with 32 bytes of data:Reply from 192.168.4.1: bytes=32 time=0ms TTL=125Reply from 192.168.4.1: bytes=32 time=12ms TTL=125Reply from 192.168.4.1: bytes=32 time=13ms TTL=125Reply from 192.168.4.1: bytes=32 time=12ms TTL=125Ping statistics for 192.168.4.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 13ms, Average = 9ms

HTTP协议的验证，如下图所示：

步骤六：在R1上查看相关的ACL信息

tarena-R1#show ip access-listsExtended IP access list 100    10 permit tcp host 192.168.1.1 host 192.168.4.1 eq www (5 match(es))    20 deny ip host 192.168.1.1 host 192.168.4.1 (4 match(es))    30 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1 (8 match(es))

转载请附上原文出处链接，原文链接：

https://www.cnblogs.com/baichuanhuihai/p/8277540.html

长按二维码

关注更多精彩

看都看完了，不如点这里试试