IP访问控制列表

第2部分:配置和引用扩展IP访问控制列表

接下来是有关扩展IP访问控制列表的实验。
配置清单10-2列出了在R2路由器上配置和引用扩展IP访问控制列表的操作。

配置清单10-2配置和引用扩展IP访问控制列表

R2#conft
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 101 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo
R2(config)#access-list 101 permit ip any any
R2(config)#int e0
R2(config-if)#ip access-g 101 out
R2(config-if)#int s0
R2(config-if)#no ipaccess-g 1 in
R2(config-if)#^Z
R2#
R2#sh ip access-list
Standard IP access list 1
deny 30.1.1.0, wildcard bits 0.0.0.255 (8 matches) check=20
permit any (20 matches)
permit ip any any
R2#
Term_Server#3
[Resuming connection 3 to R3 ...]
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent(0/5)
R3#telnet 10.1.1.1
Trying 10.1.1.1... Open
User Access Verification
Password:(键入 cisco1 )
R1>en
Password:(键入 cisco )
R1#
R1#exit
[Connection to 10.1.1.1 closed by foreign host]
R3#
Term_Server#2
[Resuming connection 2 to R2 ... ]
R2#sh ip access-list 101
Extended IP access list 101
deny icmp 20.1.1.0 0.0.0.255 10.1.1.0.0.0.0.255 echo(8 matches)
permit ip any any (40 matches)
R2#

(1)首先定义了一个扩展的IP访问控制列表101。
列表的第1句拒绝从20.1.1.0/24网段发往10.1.1.0/24网段的ICMP Echo包，即希望从20.1.1.0/24网段到10.1.1.0/24网段的ping失败。