所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。（） PT练习5.3.4：配置扩展ACL（教师版） 拓扑图 删除的内容 CCNAExploration 接入WAN：ACLPT练习5.3.4：配置扩展ACL 所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。（） 地址表 设备接口IP地址子网掩码 S0/0/010.1.1.1255.255.255.252 R1Fa0/0192.168.10.1255.255.255.0 Fa0/1192.168.11.1255.255.255.0 S0/0/010.1.1.2255.255.255.252 S0/0/110.2.2.2255.255.255.252 S0/1/0209.165.200.225255.255.255.224 R2 Fa0/0192.168.20.1255.255.255.0 S0/0/110.2.2.1255.255.255.252 R3 Fa0/0192.168.30.1255.255.255.0 S0/0/1209.165.200.226255.255.255.224 ISPFa0/0209.165.201.1255.255.255.224 Fa0/1209.165.202.129255.255.255.224 PC1网卡192.168.10.10255.255.255.0 PC2网卡192.168.11.10255.255.255.0 PC3网卡192.168.30.10255.255.255.0 PC4网卡192.168.30.128255.255.255.0 WEB/TFTP Server网卡192.168.20.254255.255.255.0 WEBServer网卡209.165.201.30255.255.255.224 OutsideHost网卡209.165.202.158255.255.255.224 学习目标 检查当前的网络配置 评估网络策略并规划ACL实施 配置采用数字编号的扩展ACL 配置命名扩展ACL 简介 扩展ACL是一种路由器配置脚本，根据源地址、目的地址，以及协议或端口来控制路由器应该允许还是应 该拒绝数据包。扩展ACL比标准ACL更加灵活而且精度更高。本练习的主要内容是定义过滤标准、配置 扩展ACL、将ACL应用于路由器接口并检验和测试ACL实施。路由器已经过配置，包括IP地址和 EIGRP路由。用户执行口令是cisco，特权执行口令是class。 CCNAExploration 接入WAN：ACLPT练习5.3.4：配置扩展ACL 所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。（） 任务1：检查当前的网络配置 步骤1.查看路由器的运行配置。 逐一在三台路由器的特权执行模式下使用showrunning-config命令查看运行配置。请注意，接口和路由 已配置完整。将IP地址配置与上面的地址表相比较。此时，路由器上应该尚未配置任何ACL。 本练习不需要配置ISP路由器。假设ISP路由器不属于您的管理范畴，而是由ISP管理员配置和维护。 步骤2.确认所有设备均可访问所有其它位置。 将任何ACL应用于网络中之前，都必须确认网络完全连通。如果应用ACL之前不测试网络连通性，排查 故障会非常困难。 要确保整个网络连通，请在不同的网络设备之间使用ping命令和tracert命令检验连接。 任务2：评估网络策略并规划ACL实施 步骤1.评估R1LAN的策略。 对于192.168.10.0/24网络，阻止telnet访问所有位置，并且阻止通过TFTP访问地址为 192.168.20.254的企业Web/TFTPServer。允许所有其它访问。 对于192.168.11.0/24网络，允许通过TFTP和Web访问地址为192.168.20.254的企业 Web/TFTPServer。阻止从192.168.11.0/24网络发往192.168.20.0/24网络的所有其它流量。允 许所有其它访问。 步骤2.为R1LAN规划ACL实施。 用两个ACL可完全实施R1LAN的安全策略。 第一个ACL支持策略的第一部分，配置在R1上并应用于FastEthernet0/0接口的入站流量。 第二个ACL支持策略的第二部分，配置在R1上并应用于FastEthernet0/1接口的入站流量。 步骤3.评估R3LAN的策略。 阻止192.168.30.0/24网络的所有IP地址访问192.168.20.0/24网络的所有IP地址。 允