今天又做了实验,呵呵,实验题目是Standard Access-Lists with RIP,就是大名鼎鼎的访问控制列表了,它的作用可就大了,比如进行安全方面的控制啊,流量方面也可以通过访问控制列表进行过滤,只要把访问控制列表配置得当,它会起到很多的作用的。 拓扑图如下: 下面看我的 r1 配置:Router(config)#hostname r1 r1(config)#interface e0 r1(config-if)#ip address 192.168.1.2 255.255.255.0 r1(config-if)#no shut r1(config-if)#interface s0 r1(config-if)#ip address 192.168.2.1 255.255.255.0 r1(config-if)#clock rate 6400 r1(config-if)#no shut r1(config)#router rip r1(config-router)#network 192.168.1.0 r1(config-router)#network 192.168.2.0 r2(config)#interface s0 r2(config-if)#ip address 192.168.2.2 255.255.255.0 r2(config-if)#no shut r2(config-if)#interface e0 r2(config-if)#ip address 192.168.3.1 255.255.255.0 r2(config-if)#no shut r2(config-router)#network 192.168.3.0 r2(config-router)#network 192.168.2.0 Pinging 192.168.3.2 with 32 bytes of data: Reply from 192.168.3.2: bytes=32 time=60ms TTL=241 Reply from 192.168.3.2: bytes=32 time=60ms TTL=241 Reply from 192.168.3.2: bytes=32 time=60ms TTL=241 Reply from 192.168.3.2: bytes=32 time=60ms TTL=241 Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms(如果有问题的可以参照前面的实验),现在要做的就是通过标准访问控制列表来对pc2进行保护,要使得pc1不能访问pc2。 r2(config)#access-list 1 permit any //不满足第一条的全部允许 r2(config-if)#ip access-group 1 out //把刚才设定的访问控制列表1应用在r2的e0口上,并且作为出站列表(out)。
C:#ping 192.168.3.2 Pinging 192.168.3.2 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Packets: Sent = 5, Received = 0, Lost = 5 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Standard IP access list 1 1 deny host 192.168.1.1 (5 matches) //说明满足该条件的数据包有5个 1 permit any (60 matches) //满足该条件的数据包有60个
