已经启用ｒｉｐ实现了全网可达。

这时我们要拒绝R1与R4的路由通信，做标准ACL过滤关注源IP需要尽量靠近目标。则在R4的物理接口G0/0/1的ｉｎ接口上做，不能在R4的环回接口上做，因为ACL列表不能再环回接口调用。

ａｃｌ　2000－２９９９就是一个标准ａｃｌ，３０００－３９９９就是扩展ａｃｌ，４０００－４９９９是一个二层的ａｃｌ协议。

所以按要求我们需要做的是一个标准ａｃｌ。接着就是做一个规则，例如下面做的就是拒绝源IP　１２.１.１.１的单个主机（后面的０.０.０.０就是指的单个主机）

查看我们做的一个ａｃｌ，里面只有一个ｒｕｌｅ就是上面做的拒绝。

此时R1还能与R4通信，是因为我们还需要在R4上的In接口上去调用这条规则。

此时完成。ｐｉｎｇ不通是因为默认是使用出接口的１２．１．１．１地址，所以ping不通，而用１.１.１.１或１.１.２.１依然能通

若是想拒绝可以使用上面拒绝１２.１.１.１的方法，但那是一个一个的去拒绝，效率太慢，所以可以使用如下去匹配过滤一个网段。

此时R1上的１.１.１.０/24这一网段的流量全部拦截。这里面的０．０．０．２５５不是反掩码，这叫做通配符，反掩码是连续的０与连续的１，而通配符可以不用是连续的０与连续的１，其中０代表固定位，１代表可变位，与反掩码类似，但区别是可以不是连续的０与连续的１组成。

现在我们需要１.１.１.１不能ping通４.４.４.４，但可以telnet４.４.４.４。这时就需要使用扩展ａｃｌ。

首先在R4上开启telnet功能。

测试R1能否telnet４.４.４.４，测试完成。

扩展ACL要尽量靠近源，因为１.１.１.１是R1的环回接口，ACL无法过滤自身产生的流量，所以做在R2的ｉｎ上更好，虽然ｏｕｔ也行。In方向在上面的例子已经显示，那么这个就做在ｏｕｔ上。

因为ｐｉｎｇ包是用的ｉｃｍｐ协议，所以如上拒绝ping。在ｏｕｔ接口进行一个调用。

测试：

使用默认的出接口IP　１２.１.１.１可以Ping，但使用１.１.１.１ping被过滤，且１.１.１.１telnet４.４.４.４正常。

至此实验结束，其余过滤操作如上类似。