基本ACL配置实例

实训八标准ACL配置与调试1．实训目标在这个实训中，我们将在思科路由器上配置标准ACL。

通过该实训我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。

2．实训拓扑实训的拓扑结构如图1所示。

图1 ACL实训拓扑结构3．实训要求根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。

本实训各设备的IP地址分配如下：⑴路由器R1：s0/0:192.168.100.1/24fa0/0:10.1.1.1/8⑵计算机PC1：IP：10.1.1.2/8网关：10.1.1.1⑶路由器R2：s0/0:192.168.100.2/24fa0/0:172.16.1.1/16⑷计算机PC2：IP：172.16.1.2/16网关：172.16.1.１4．实训步骤在开始本实训之前，建议在删除各路由器的初始配置后再重新启动路由器。

这样可以防止由残留的配置所带来的问题。

在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实训。

⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。

⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。

⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。

⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下：①R1#show ip routeGateway of last resort is not setR 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0C 192.168.100.0/24 is directly connected, Serial0/0C 10.0.0.0/8 is directly connected, FastEthernet0/0②R2#show ip routeGateway of last resort is not setC 192.168.100.0/24 is directly connected, Serial0/0R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0C 172.16.0.0/16 is directly connected, FastEthernet0/0⑸ R1路由器上禁止PC2所在网段访问：①在路由器R1上配置如下：R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)#interface s0/0R1(config-if)#ip access-group 1 in【问题1】：为什么要配置“access-list 1 permit any”？②测试上述配置：此时在PC2上ping路由器R1，应该是不同的，因为访问控制列表“1”已经起了作用，结果如图2所示：图2 在PC2上ping路由器R1的结果【问题2】：如果在PC2上ping PC1，结果应该是怎样的？③查看定义ACL列表：R1#show access-listsStandard IP access list 1deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276permit any (276 matches)④查看ACL在s0/0作用的方向：R1#show ip interface s0/0Serial0/0 is up, line protocol is upInternet address is 192.168.100.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledMulticast reserved groups joined: 224.0.0.9Outgoing access list is not setInbound access list is 1Proxy ARP is enabled【问题3】：如果把ACL作用在R1的fa0/0端口，相应的配置应该怎样改动？【问题4】：如果把上述配置的ACL在端口s0/0上的作用方向改为“out”，结果会怎样？⑹成功后在路由器R1上取消ACL，转为在R2路由器上禁止PC1所在网段访问：①在R2上配置如下：R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255R2(config)# access-list 2 permit anyR2(config)#interface fa0/0R2(config-if)#ip access-group 2 out②测试和查看结果的操作和步骤⑸基本相同，这里不再赘述。

ACL简单的配置ACL(Access Control List，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip地址、协议端口号等信息进行过滤。

利用ACL可以实现安全控制。

编号：1-99 or 1300-1999(standard IP)，100-199 or 2000-2699(Extended IP)。

ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。

Router 销售部：Router(config)#router ripRouter(config-router)#network 192.168.3.0 Router(config-router)#network 172.17.0.0 Router(config-router)#network 172.18.0.0Router 财务处：Router(config)#router ripRouter(config-router)#network 192.168.2.0 Router(config-router)#network 172.16.0.0 Router(config-router)#network 172.17.0.0 Router 人事处：Router(config)#router ripRouter(config-router)#network 192.168.1.0 Router(config-router)#network 172.16.0.0 Router(config-router)#network 172.18.0.0三、配置简单的ACL１、配置ACL限制远程登录到路由器的主机caiwuchu#conf tcaiwuchu(config)#enable password 123caiwuchu(config)#access-list 1 permit 192.168.2.2 0.0.0.0caiwuchu(config)# access-list 1 deny any \\隐含为拒绝其他主机，这句可以不写caiwuchu(config)#line vty 0caiwuchu(config-line)#password ciscocaiwuchu(config-line)#logincaiwuchu(config-line)#access-class 1 in ＼＼路由器caiwuchu 只允许192.168.2.2远程登录(telnet)测试：只有192.168.2.2的主机pc2可以telnet到192.168.2.1，即财务处的路由器，其他主机均被拒绝。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

实验时间月日编号：实验题目基本ACL配置实验场所实训（实习）内容：1.r1上配访问控制列表控制只有pc1能远程登录路由器r1；2.在r2上配置基本的访问控制列表控制pc1不能访问服务器，其他主机都可以访问；实验所用设备：计算机、路由器、二层交换机、网线实验（训）过程或步骤：1、网络拓扑设计2.pc机配置3.交换机配置Switch>enableSwitch#configSwitch(config)#ho swsw(config)#vlan 10sw(config-vlan)#exisw(config)#vlan 20sw(config-vlan)#exisw(config)#interface fastEthernet 0/5 sw(config-if)#switchport access vlan 10 sw(config-if)#exisw(config)#interface fastEthernet 0/15 sw(config-if)#switchport access vlan 20 sw(config-if)#exisw(config)#interface fastEthernet 0/20 sw(config-if)#switchport mode trunk sw(config-if)#exi4.路由器配置Router>enableRouter#configRouter(config)#ho r1r1(config)#interface fastEthernet 0/1r1(config-if)#no shutdownr1(config-if)#exir1(config)#interface fastEthernet 0/1.10r1(config-subif)#encapsulation dot1Q 10r1(config-subif)#ip address 192.168.10.1 255.255.255.0 r1(config-subif)#exir1(config)#interface fastEthernet 0/1.20r1(config-subif)#ip address 192.168.20.1 255.255.255.0 r1(config-subif)#exir1(config)#interface fastEthernet 0/0r1(config-if)#ip address 192.168.30.1 255.255.255.0r1(config-if)#exir1(config)#router ospf 100r1(config-router)#network 192.168.10.0 0.0.0.255 area 0 r1(config-router)#network 192.168.20.0 0.0.0.255 area 0 r1(config-router)#network 192.168.30.0 0.0.0.255 area 0 r1(config-router)#exir1(config)#interface fastEthernet 0/0r1(config-if)#no shutdownr1(config-if)#exir1(config)#r1(config)#enable password 326r1(config)#line vty 0 15r1(config-line)#password 508r1(config-line)#loginr1(config-line)#exir1(config)#access-list 2 permit host 192.168.10.10r1(config)#line vty 0 15r1(config-line)#access-class 2 inr1(config-line)#exir1(config)#Router>enRouter#configRouter(config)#ho r2r2(config)#interface fastEthernet 0/1r2(config-if)#no shutdownr2(config-if)#ip address 192.168.30.2 255.255.255.0r2(config-if)#exir2(config)#interface fastEthernet 0/0r2(config-if)#ip address 192.168.30.2 255.255.255.0r2(config-if)#no shutdownr2(config-if)#exir2(config)#interface fastEthernet 0/1r2(config-if)#ip address 192.168.40.2 255.255.255.0 r2(config-if)#no shutdownr2(config-if)#exir2(config)#access-list 1 deny 192.168.10.0 0.0.0.255 r2(config)#access-list 1 permit anyr2(config)#interface fastEthernet 0/1r2(config-if)#ip access-group 1 outr2(config-if)#exir2(config)#5.测试验证实验（训）总结：基本ACL与扩展ACL的区别？1、标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

实验６标准ACL的配置
一、实验目的
熟悉标准ACL的配置方法及配置指令、验证ACL的工作原理。

二、实验内容及屏幕截图
1、实验6-1：在如图6.1的网络拓扑结构中，配置ACL。

要求:允许主机1访问Router1，拒绝主机1外的10.1.1.0网段访问Router1，允许其他流量访问R1，先在整个网络上配置RIP,使整个网络可以通信,再配置标准ACL,并验证。

图6.1 网络拓扑图
配置与验证过程，如截图6-１所示：
R１路由器端口配置：
R１路由协议配置：
R１路由器ACL配置：
R２路由器端口配置：
R２路由协议配置：
R２路由器ACL配置：
ACL验证：
2、实验6-2：在如图6.2的网络拓扑结构中，配置ACL。

在如下图所示的网络中，要求在61.128.64.0这个网段上只允许主机61.128.64.1访问网段2，网段3(172.16.0.0)可以访问网段2，其他的任何主机对网段2的访问均被拒绝。

图6.2 网络拓扑图
配置与验证过程，如截图6-2所示：
三、实验分析与结论
1. in与out参数的含义？
2. ACL表如何绑定到端口上？
3. ACL的工作原理？
4. 实验结论。

1.1 ACL典型配置举例1.1.1 组网需求●公司企业网通过设备Router实现各部门之间的互连。

●要求正确配置ACL，禁止其它部门在上班时间（8:00至18:00）访问工资查询服务器（IP地址为129.110.1.2），而总裁办公室（IP地址为129.111.1.2）不受限制，可以随时访问。

1.1.2 组网图图1-1配置ACL组网图1.1.3 配置步骤(1) 定义上班时间段# 定义8:00至18:00的周期时间段。

<Sysname> system-view[Sysname] time-range trname 8:00 to 18:00 working-day(2) 定义到工资服务器的ACL# 进入高级访问控制列表视图，编号为3000。

[Sysname] acl number 3000# 定义总裁办公室到工资服务器的访问规则。

[Sysname-acl-adv-3000] rule 1 permit ip source 129.111.1.2 0.0.0.0destination 129.110.1.2 0.0.0.0# 定义其它部门到工资服务器的访问规则。

[Sysname-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.20.0.0.0 time-range trname[Sysname-acl-adv-3000] quit(3) 应用ACL# 将ACL 3000用于Ethernet1/0出方向的包过滤。

[Sysname] firewall enable[Sysname] interface ethernet 1/0[Sysname-Ethernet1/0] firewall packet-filter 3000 outbound。