扩展访问控制列表CISCO之CCNA篇之七（3） 2009-06-2815:48:09 标签：HYPERLINK"http://blog.51cto.com/tagindex.php?keyword=%B7%C3%CE%CA"\t"_blank"访问HYPERLINK"http://blog.51cto.com/tagindex.php?keyword=%C1%D0%B1%ED"\t"_blank"列表HYPERLINK"http://blog.51cto.com/tagindex.php?keyword=CCNA"\t"_blank"CCNAHYPERLINK"http://blog.51cto.com/tagindex.php?keyword=%D0%DD%CF%D0"\t"_blank"休闲HYPERLINK"http://blog.51cto.com/tagindex.php?keyword=CISCO"\t"_blank"CISCO 版权声明：原创作品，谢绝转载！否则将追究法律责任。 在HYPERLINK"http://shuangyang.blog.51cto.com/540829/169914"\t"\\"访问控制列表（ACL）简介CISCO之CCNA篇之七（1）这篇文章中我们已经提到了标准的访问列表，下面就用两个实例来详细介绍下具体的应用。扩展访问控制列表语法：Lab(config)#access-list[100-199][permit/deny]协议源IP源IP反码目标IP目标IP反码条件[eq][具体协议/端口号]举个语法实例，便于大家理解：Lab(config)#access-list101denytcp192.168.1.100.0.0.0172.16.1.20.0.0.0eqtelnet或Lab(config)#access-list101denytcphost192.168.1.10host172.16.1.2eq23注意：只禁用某个服务（或某个端口）需要把其他设置打开Lab(config)#access-list101permitipanyanyLab(config)#intfa0/0(绑定到接口上)Lab(config-if)#ipclass-group101in注：eq等于；gt大于；lt小于；neq不等于。 扩展ACL实验一：只禁用PC0对外网服务器（Server0）的http访问具体是实验拓扑图如下图 Server0充当外网服务器，它需要的配置如下，为其开启DNS服务，添加域名HYPERLINK"http://www.itet.com"\t"\\"www.itet.com 然后再为其开启HTTP服务，随便输入一些粗糙的网页内容，见下图标注处， 路由器R1需要的配置（基本的IP配置见上图） r1>r1>enr1#shrunBuildingconfiguration... Currentconfiguration:460bytes!version12.2noservicepassword-encryption!hostnamer1！ipsshversion1!interfaceFastEthernet0/0ipaddress192.168.1.1255.255.255.0ipaccess-group101induplexautospeedauto!interfaceFastEthernet0/1ipaddress202.106.1.1255.255.255.0duplexautospeedauto!ipclassless!access-list101denytcphost192.168.1.2host202.106.1.2eqwwwaccess-list101permitipanyany!linecon0linevty04login!end 实验结果，先来看下面的图，打开“WEB浏览器”， 先在PC0上进行域名访问，连接不上， 然后再在PC1上进行域名访问，成功进入我们自己设置的网页界面， 通过这个测试，我们成功的禁用了PC0对外网服务器（Server0）的HTTP访问，下面我们再举一例，介绍扩展ACL的应用。 扩展ACL实验二：只禁用PC1对R2的PING操作具体的实验拓扑图如下： 路由器R1的配置如下： r1>r1>enr1#shrunBuildingconfiguration... Currentconfiguration:639bytes!version12.2noservicepassword-encryption!hostnamer1!ipsshversion1!interfaceFastEthernet0/0ipaddress19