使用扩展的ACL

bwangshang

1.配置路由器的基本参数

sibo1(config)#interface serial 0                 

sibo1(config-if)#ip address 192.168.12.1 255.255.255.0     

sibo1(config-if)#no shutdown                  



sibo2(config)#interface serial 0                    

sibo2(config-if)#clock rate 64000                       

sibo2(config-if)#ip address 192.168.12.2 255.255.255.0     

sibo2(config-if)#no shutdown   



2．验证3层连通性

sibo1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

！！！！！

Success rate is 0 percent (0/5)



3.创建ACL

sibo1(config)#access-list 100 deny icmp 192.168.12.1 0.0.0.0 192.168.12.2 0.0.0.0     

sibo1(config)#access-list 100 permit ip any any  



注：扩展ACL的编号范围为100到199。我们需要拒绝的是PING命令，它是属于ICMP协议，所以我们需要拒绝ICMP。用反掩码绝对匹配一个源地址。用反掩码绝对匹配

一个目的地址。ACL有隐含拒绝的条目，它会拒绝所有的数据流量，为了防止数据流被误拒绝，我们可以加一条放行所有数据流量的条目。                                 



43  

4.检查ACl

sibo1#show ip access-lists  

Extended IP access list 100

    10 deny icmp host 192.168.12.1 host 192.168.12.2

    20 permit ip any any

注：ACL以编号10开始，然后以10为递增。



5.应用ACL到接口

sibo1(config)#int s0   

sibo1(config-if)#ip access-group 100 out

注：对出去的数据流量进行检测



1. 验证效果

sibo1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

!!!!!----------实验失败！现在依然可以PING通！

Success rate is 100 percent (5/5), round-trip min/avg/max = 24/37/52 ms



问题分析：对于ACL的放置位置，我们有以下的原则：扩展ACL放置在靠近源的位置，

标准ACL放置在靠近目的位置。那按照上述的原则，我们创建一个扩展的ACL，并放置在

源端，并没有错误。



7．排错

sibo1#show ip access-lists  

Extended IP access list 100

    10 deny icmp host 192.168.12.1 host 192.168.12.2

    20 permit ip any any (15 matches) ------Permit

语句匹配到15个数据包



问题分析：对于ACL，有个非常重要的特性，他不能过滤本地数据流！也就是说，对于

sibo1上发送的数据，设置在sibo1接口上的ACL并不能对它进行过滤。为了能对数据流进行

过滤，我们需要把ACL设置在对端的sibo2上



8．在sibo2上设置并应用ACL

sibo2(config)#access-l 100 deny icmp host 192.168.12.1 host 192.168.12.2

sibo2(config)#access-l 100 permit icmp any any



sibo2(config)#interface serial 0

sibo2(config-if)#ip access-group 100 in



注:对于sibo2来说，数据是进到s0接口中，所以我们需要对进来的数据进行检测，那么我                                



44

们就用in



9．检测效果

sibo1#ping 192.168.12.2  

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

U.U.U-----------

实验成功，ICMP包被拒绝

Success rate is 0 percent (0/5)



sibo2#show ip access-lists  

Extended IP access list 100

10 deny icmp host 192.168.12.1 host 192.168.12.2 (11 matches) ---- 注：有相关的数据流被拒绝

20 permit icmp any any  

爱普信

顶一下。

sgrsf1

下流~~~~加~~~~~至极~~~~~~