拓扑如下：

配置要求：PC0可以telentSVR，无法ping通SVR，SVR可以ping通PC0

Route0配置：

配置完成端口IP地址后：

R0(config)#ip route 10.10.3.0 255.255.255.0 10.1.1.1

在R0上配置访问控制列表：

R0(config)#ip access-list extended 100 设置访问控制列表名称

R0(config-ext-nacl)#deny udp any any 拒绝所有UDP流量

R0(config-ext-nacl)#permit tcp host 10.10.1.10 any eq 23 仅允许从主机PC0 23端口发出的TCP流量

R0(config-ext-nacl)#deny tcp host 10.10.1.10 any 拒绝PC0主机的其他tcp流量

R0(config-ext-nacl)#permit ip any any允许ip的流量

R0(config-ex-nacl)#5 deny icmp host 10.10.1.10 any echo 拒绝PC0的echo流量

R0(config)#interface g0/0  在g0/0上

R0(config-if)#ip access-group 100 in应用100的策略

R1配置一条静态路由：

R1(config)#ip route 10.10.1.0 255.255.255.0 10.1.1.2

SVR是用路由器代替服务器,所以也配置一条静态路由

SVR(config)#ip route 0.0.0.0 0.0.0.0 10.10.3.1

SVR(config)#line vty 0 4

SVR(config-line)#login

SVR(config-line)#password 123 设置登录密码123

SVR(config)#enable password abc设置enable密码

在PC0上测试：

可以看到PC0上无法ping通 SVR，但是可以telnet SVR

在SVR上pingPC0，可以ping通

在R1上使用show access-lists,可以看到匹配了5个数据包，就是从SVR过来的5个包。

访问控制列表实验