#show ip route /* 查看路由表,确保当前路由信息已在路由之间被正常学习
PC0上:将“网络连接”属性中的IP指定为:192.168.1.2;网关为:192.168.1.1。见下图。
PC1上:将“网络连接”属性中的IP指定为:192.168.2.2;网关为:192.168.2.1
PC2上:将“网络连接”属性中的IP指定为:192.168.3.2;网关为:192.168.3.1
用Ping命令验证:当前在没有设置访问控制列表前所有的访问都是正常联通的。即PC1、PC1和 PC2之间可以互相ping通,比如:在PC1上运行ping 192.168.2.2,192.168.3.2 在PC1上运行ping 192.168.1.2, 192.168.3.2 在PC2上运行ping 192.168.1.2, 192.168.2.2 结果见下图:
2)配置标准访问控制列表
①意图:在完成以上配置,确认网络各网段内主机是连通的情况下,设置标号为“15”的标准访问控制列表,禁止来自192.168.2.0网段的主机访问192.168.1.0网段内的主机。
②输入的命令如下:
R2801-A(config-if)Access-list 15 deny 192.168.2.0 0.0.0.255 R2801-A(config-if)Access-list 15 permit any R2801-A(config-if)interface s0/2/0
R2801-A(config-if)ip access-group 15 in
查看访问控制列表的情况可以运行命令:show access-list,见下图: #show access-list
6.6验证结果:
根据该访问控制列表的设置,192.168.1.0和192.168.2.0之间是无法ping通的,作为对比,192.168.1.0和192.168.3.0之间的主机却是可以ping通的!见如下结果。
下图是在PC1主机(192.168.1.2)上运行“ping 192.168.2.2”的结果。显然应该不通! 下图是在PC1主机(192.168.1.2)上运行“ping 192.168.3.2”的结果。显然应该通!
将上述结果与前面的情况对比,显然是由于本访问控制列表造成PC1和PC2之间不通! (3) 扩展访问控制列表
上面的实验还可以用扩展访问控制列表来实现,只需要把前面的“15”号标准访问列表取消,产生下面的“105”号扩展访问列表即可。 在R2801-A上: (config)no access-list 15
(config)end
#show access-list /* 验证标准访问列表“15”已被取消
#conf t
(config)#ip access-list extended 105
(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2 /* 禁止来自192.168.2.0网段的主机访问192.168.1.2主机 (config-ext-nacl)#permit ip any any (config-ext-nacl)#int s0/2/0 (config-if)#ip access-group 105 in (config-if)#end #show access-list