路由器扩展ACL配置

路由器扩展ACL配置

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

按拓扑图配置好路由器的主机名和显示名，注意安装拓扑图的接口编号连接各接口，并配置号主机的IP地址。

在R1上配置扩展ACL；

只允许主机PC2所在的网段的主机访问服务器S1的www服务，和路由器R2的Telnet服务。

PC2所在的网段主机ping不通其他主机或路由器。

在R2上删除前面配置的标准ACL及其应用。

在R3上配置扩展ACL；拒绝PC3所在的网络ping路由器R2。

验证配置：

验证路由.

验证ACL. ①验证路由器R1的ACL： PC2 telnet操作路由器R2，结果成功。

PC1 telnet操作路由器R2，结果不成功。

说明R1(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 23命令成功运行。

PC1 ping 路由器R1可以ping通，但ping PC2,超时：

说明PC2所在的网段主机ping不通其他主机或路由器这条ACL成功应用。 PC2浏览器浏览服务器S1网页成功：

PC2浏览器浏览服务器S1网页成功：

PC1浏览器浏览服务器S1网页请求超时： 说明R1(config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.5.2 0.0.0.255 eq www命令成功应用。

③验证路由器R3的ACL： PC3 ping 路由器R3，结果显示不可达： 说明路由器R3上的ACL成功应用。