技术原理:
1) 访问列表中定义的典型规则主要有一下:源地址、源端口、目标地址、目标端口、上层协议、时间区域;
2) 扩展访问控制列表(编号为100~199、2000~2699)使用以上四种组合来进行转发或阻断分作;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤
3) 扩展IP访问列表的配置包括一下两步:
4) 定义扩展IP访问列表
5) 将扩展IP访问列表应用于特定接口上
实验步骤:
拓扑图:
1. 分公司出口路由器与外部路由器之间通过V.35电缆通过串口连接,DCE端连接在R2上,配置时钟频率64000;主机与路由器通过交叉线连接;
2. 配置PC1、WEB服务器和路由器;
3. 在路由器上R1、R3配置静态路由协议,让三台PC能互相ping通,因为只有在互通的前提下才能涉及到访问控制列表。
4. 默认情况下Cisco packet tracer模拟器HTTP服务是开启的;在R2上配置编号为access-list 100(编号随便在100~199、2000~2699)的IP扩展访问控制列表,允许PC2访问WEB服务器;拒绝PC1 ping WEB服务器;
5. 将扩展IP访问控制列表应用到接口上;
6. 验证主机和WEB服务器之间的互通性(能访问WEB服务但是主机Ping不通WEB服务器);