(2) 扩展ACL(表号取值范围100-199)
第一步:定义访问控制列表
命令格式:access-list access-list-number { permit |deny } protocol {source source-wildcard destination destination-wildcard} [operator operan]
第二步:应用到某一个接口上
命令格式:{ protocol } access-group access-list-number {in | out}
例如:
!定义访问控制列表
router(config)# access-list 101 permit tcp 192.168.1.00.0.0.255 192.168.2.0 0.0.0.255 eq 80
!删除访问控制列表(这里无法删除某一条ACL语句,只能删除整个ACL表)
router(config)# no access-list 101
例如:
router(config)# int f0/0
router(config-if)ip access-group 101 out
实验实例:
拓扑图如下(需求在图中):
linux安装软件包
vsftpd服务为其他服务
httpd服务为web服务
安装过软件包,将动态改为静态IP并启动服务
(systemctl restart network 重动IP服务)
systemctl stop firewalld.service 关闭防火墙
setenforce 0 关闭增强性功能
将this is test写入web服务网页
ftp共享文件写入文件ftp_test.txt
将模式改为仅主机模式WMnet2
将win10和server2016分别配置需要的IP
模式也改为仅主机模式,分别为VMnet1和VMnet3
拓扑图中R1配置:
配置接口IP
所有的主机关闭防火墙
测试互通:
配置扩展ACL:
access-list 100 permit tcp host 192.168.1.10 host 192.168.100.100 eq www //win10允许访问linuxweb服务
access-list 100 deny ip host 192.168.1.10 host 192.168.100.100 //禁止访问ftp(其他)服务
access-list 100 permit ip host 192.168.1.10 192.168.2.0 0.0.0.255 //允许访问server2016主机
win10ping不通linux
能ping通server 2016
需求完成