访问控制列表练习----扩展访问控制列表
R1#configure
R1(config)#intloo 1
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)# intfa 0/0
R1(config-if)#ip add 12.12.12.1 255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#do show ipint b
R1(config-if)#
R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0
R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0
R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0
R1(config)#exit
R1#show ip route
R2#configure
R2(config)#intfa 0/0
R2(config-if)#ip add 12.12.12.2 255.0.0.0
R2(config-if)#no shutdown
R2(config-if)# intfa 0/1
R2(config-if)#ip add 23.23.23.1 255.0.0.0
R2(config-if)#no shutdown
R2(config-if)#do show ipint b
R2(config-if)#
R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0
R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1
R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
R3#configure
R3(config)#intfa 0/1
R3(config-if)#ip add23.23.23.2 255.0.0.0
R3(config-if)#no shutdown
R3(config-if)# intfa0/0
R3(config-if)#ip add 100.100.100.1 255.255.255.0 R3(config-if)#no shutdown
R3(config-if)#int loo 1
R3(config-if)#ip add 3.3.3.3 255.255.255.0
R3(config-if)#do show ipint b
R3(config-if)#
R3(config)#ip route 1.1.1.0 255.255.255.0 fa0/1 R3(config)#ip route 12.0.0.0 255.0.0.0 fa0/1
R3(config)#exit
1、禁止1.1.1.1访问3.3.3.3,允许其他流量
分析后，发现使用扩展ACL
并且放在R2：的fa0/0进口上较好
用R1的回环口1.1.1.1 ping R3 的回环口3.3.3.3 R1#ping 3.3.3.3 source 1.1.1.1
进入R2配置访问列表
R2(config)#access-list 101 deny ip host 1.1.1.1 host 3.3.3.3
R2(config)#access-list 101 permit ip any any
R2(config)#intfa 0/0
R2(config-if)#ip access-group 101 in
R2(config-if)#
用R1的回环口1.1.1.1 ping R3 的回环口3.3.3.3
R1#ping 3.3.3.3 source 1.1.1.1
R1#ping 3.3.3.3
R1#ping 3.3.3.3 source 12.12.12.1
2：禁止1.1.1.1访问100.100.100.100，允许其他流量
注意：做这个要去掉上一题的
分析后，发现使用扩展ACL
并且放在R2：的fa0/0进口上较好
用R1的回环口1.1.1.1 ping R3 的f0/0100.100.100.100
R1#ping 100.100.100.100 source 1.1.1.1
进入R2配置访问列表
R2(config)#access-list 102 deny ip host 1.1.1.1 host 100.100.100.100 R2(config)#access-list 102 permitip any any
R2(config)#intfa 0/0
R2(config-if)#ip access-group 102 in
R2(config-if)#
用R1的回环口1.1.1.1 ping R3 的f0/0100.100.100.100
R1#ping 100.100.100.100 source 1.1.1.1
R1#ping 100.100.100.100
R1#ping 100.100.100.100 source 12.12.12.1
VPCS[1]ping 1.1.1.1
3:禁止100.100.100.0访问1.1.1.1的web流量,允许其他所有
注意：做这个要去掉上一题的
分析后，发现使用扩展ACL
并且放在R2：的fa0/1进口上较好
r2(config)#access-list 103 deny tcp 100.100.100.0 0.0.0.255 host 1.1.1.1eq 80 r2(config)#access-list 103 permit ipany any
r2(config)#intfa 0/1
r2(config-if)#ip access-group 103 in
注意，此题无法演示结果现象
4:允许100.100.100.100ping1.1.1.1但是不允许反向操作,其他流量允许
注意：做这个要去掉上一题的
分析后，发现使用扩展ACL
分析ping。

何为ping通
ping 的数据包去了还能回来，才是通
理解：ping 1.1.1.1 source 100.100.100.100 通
ping 100.100.100.100 source 1.1.1.1 不通
r2(config)#access-list 105 deny icmp host 1.1.1.1 host 100.100.100.100 echo（请求）
r2(config)#access-list 105 permit icmp host 1.1.1.1 host 100.100.100.100 echo-reply（回复应答）r2(config)#access-list 105 permit ip any any
r2(config)#intfa 0/0
r2(config-if)#ip access-group 105 in
解析：当回环口ip 1.1.1.1 ping 主机100.100.100.100时，是不能ping通的，上面写到echo （请求）发送的icmp数据包，当到达端口fa0/0时，是被拒绝通过的。

当主机ip100.100.100.100 ping 1.1.1.1 时，通过R2的fa0/0所设置的访问列表时，与前两条不符合，与第三条符合，允许通过，当回环口ip1.1.1.1回复应答时，经过R2的f0/0口，查看列表对比，与第一条不符，查看第二条，echo-reply（回复应答）与此条符合，并允许通过。

5：只允许3.3.3.3 telnet1.1.1.1
R2(config)#access-list 106 permit tcp host 3.3.3.3 host 1.1.1.1 eq 23
R2(config)#access-list 106 deny ip any any
R2(config)#int fa0/1
R2(config-if)#ip access-group 106 in
R1(config)#line vty 0 4
R1(config-line)#password 123
R1(config-line)#login
R1(config-line)#exit
R3#telnet 1.1.1.1 /source-interface loo 1
R3#telnet 1.1.1.1 /source-interface fastEthernet 0/0。