扩展访问控制列表配置(51cto: 实验 35)

在实验34的基础上删除标准访问控制列表，添加扩展访问控制列表

RA

Router(config)#int s1/0
Router(config-if)#no ip access-group test out
Router#configure terminal
Router(config)#access-list ?
<1-99>     IP standard access list
<100-199>  IP extended access list
Router(config)#access-list 110 permit tcp 210.31.10.0 0.0.0.255 200.200.200.2 0.0.0.0 eq 80//web服务
Router(config)#access-list 110 deny icmp 210.31.10.0 0.0.0.255 any
Router(config)#access-list 110 permit icmp 210.31.10.0 0.0.0.255 any
Router(config)#access-list 110 deny icmp 210.31.20.0 0.0.0.255 any
Router(config)#int s1/0
Router(config-if)#ip access-group 110 out

结果：

主机0、主机1都能访问web/http服务器，但主机1不能ping通http服务器,主机0不能ping通http服务器









实验内容
(1) 按图配置各台路由器接口和计算机的 IP 地址。
(2) 在 C2811A 和 C2811B 上分别运行 RIP 路由协议，使得两台路由器可以相互学习路由信息。
(3) 参阅教材中内容，在 C2811A 上配置扩展访问控制列表，允许 210.31.10.0/24 和 210.31.20.0 访问外部的Web 服务，允许 210.31.10.0/24 使用 ICMP 协议访问外部，不允许 210.31.20.0/24 使用 ICMP 协议访问外部，其他任何访问均拒绝通过。
(4) 分别在 210.31.10.2 和 210.31.20.2 上使用 Web Browser 访问服务器 200.200.200.2 的 Web 服务，均能访问，210.31.10.2 与 200.200.200.2 之间可以 ping 通，210.31.20.2 与 200.200.200.2 之间不能 ping 通。
(5) 完成以上配置之后使用 show ip access-lists 查看访问控制列表配置的内容。
3. 实验要求
掌握访问控制列表的概念，理解扩展访问控制列表可以根据源地址、目的地址、源端口、目的端口、协议类型等进行过滤，掌握扩展访问控制列表的配置方法和命令。
（1） 结果分析与概念理解
扩展访问控制列表，同样也有编号和命名两种配置方式
 编号的配置方式，编号为 100-199，
创建扩展访问控制列表，定义 permit 或 deny 语句，应用于路由器接口的 in 或 out方向
 命名的配置方式
创建扩展访问控制列表，定义 permit 或 deny 语句，应用于路由器接口的 in 或 out方向
扩展访问控制列表
Permit 协议 源地址 源地址的通配符掩码 目的地址 目的地址的通配符掩码 端口号
Deny 协议 源地址 源地址的通配符掩码 目的地址 目的地址的通配符掩码 端口号
可以使用Show ip accest-list