路由器擴展訪問控制列表的建立及應用

大家好，今天我們來學習交流一下路由器擴展訪問控制列表的建立及應用。

擴展訪問控制列表比標準的訪問控制列表具有更多的匹配參數，包括地址源、目標地址、源埠、目標埠、協議類型、優先順序等。

擴展訪問控制列表，可以有編號和命名的兩種配置方法，其編號範圍為100~199。創建擴展訪問控制列表，定義 permit 或 deny 語句，應用於路由器介面的 in 或 out方向

配置格式：

Permit 協議 源地址 源地址的通配符掩碼 目的地址 目的地址的通配符掩碼 埠號

Deny 協議 源地址 源地址的通配符掩碼 目的地址 目的地址的通配符掩碼 埠號

通過本文實驗，主要了解為以下幾點

1、了解擴展訪問控制列表功能及用途；

2、掌握路由器擴展訪問控制列表的技能。

實驗參考配置命令

例如：僅允許內部 IP 地址為 11.66.129.1 和 11.66.129.2 的主機訪問外部,禁止外部訪問內部網主機的 telnet 和 ftp埠。

router(config)#access-list 1 permit 11.66.129.1 0.0.0.0

router(config)#access-list 1 permit 11.66.129.2 0.0.0.0

router(config)#access-list 101 deny tcp any any eq 23

router(config)#access-list 101 deny tcp any any eq 21

router(config)#access-list 101 deny tcp any any eq 20

（其中 20、21 為 FTP的埠，23 為 TELNET埠）

router(config)#access-list 101 permit ip any any

router(config)#int e0

router(config-if)#ip access-group 1 out

router(config-if)#ip access-group 101 in

router(config-if)#exit

實驗環境

1、Cisco2811路由器 1 台；

2、計算機 2 台；

3、Console 電纜 1 條、直通線 2 條。

實驗拓撲

實驗內容

1、在一台路由上配置介面IP，分別為：192.168.10.1 和 192.168.20.1。在路由器上定義一個標準禁止訪問控制列表，方向為 in ，應用到路由器的介面上，定義IP 為：192.168.10.100 的機器不能訪問 PC2，再定義一個 IP 為：192.168.10.99的機器能夠訪問 PC2，PC2 的 IP 地址為：192.168.20.200，改變 PC1 的 IP 地址進行測試，ping 管理 IP和PC2，觀察測試結果。

2、將第 1 點定義的訪問控制應用到埠，方向為 out ，如何配置？ping 交換機的管理 IP和 PC2，查看測試結果與前者有何不同。

3、用定義一個擴展訪問控制的方式去實現上述目標，如何配置。分析測試結果。

常見問題

1、參數"log"會生成相應的日誌信息，用來記錄經過 ACL 入口的數據包的情況；

2、盡量考慮將擴展的訪問控制列表放在靠近過濾源的位置上，這樣創建的過濾器就不會反過來影響其它介面上的數據流。另外，盡量使標準的訪問控制列表靠近目的，由於標準訪問控制列表只使用源地址，如果將其靠近源會阻止數據包流向其他埠。

以上為本文全部內容，如有學習需要可使用Cisco Packet Tracer或者其它模擬軟體進行模擬實驗。有問題也可留言提問。感謝大家的觀看。如果大家對網路技術有興趣，歡迎大家關注。

轉載請註明

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！