标准ACL配置与调试

实训八标准ACL配置与调试1．实训目标在这个实训中，我们将在思科路由器上配置标准ACL。

通过该实训我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。

2．实训拓扑实训的拓扑结构如图1所示。

图1 ACL实训拓扑结构3．实训要求根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。

本实训各设备的IP地址分配如下：⑴路由器R1：s0/0:192.168.100.1/24fa0/0:10.1.1.1/8⑵计算机PC1：IP：10.1.1.2/8网关：10.1.1.1⑶路由器R2：s0/0:192.168.100.2/24fa0/0:172.16.1.1/16⑷计算机PC2：IP：172.16.1.2/16网关：172.16.1.１4．实训步骤在开始本实训之前，建议在删除各路由器的初始配置后再重新启动路由器。

这样可以防止由残留的配置所带来的问题。

在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实训。

⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。

⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。

⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。

⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下：①R1#show ip routeGateway of last resort is not setR 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0C 192.168.100.0/24 is directly connected, Serial0/0C 10.0.0.0/8 is directly connected, FastEthernet0/0②R2#show ip routeGateway of last resort is not setC 192.168.100.0/24 is directly connected, Serial0/0R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0C 172.16.0.0/16 is directly connected, FastEthernet0/0⑸ R1路由器上禁止PC2所在网段访问：①在路由器R1上配置如下：R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)#interface s0/0R1(config-if)#ip access-group 1 in【问题1】：为什么要配置“access-list 1 permit any”？②测试上述配置：此时在PC2上ping路由器R1，应该是不同的，因为访问控制列表“1”已经起了作用，结果如图2所示：图2 在PC2上ping路由器R1的结果【问题2】：如果在PC2上ping PC1，结果应该是怎样的？③查看定义ACL列表：R1#show access-listsStandard IP access list 1deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276permit any (276 matches)④查看ACL在s0/0作用的方向：R1#show ip interface s0/0Serial0/0 is up, line protocol is upInternet address is 192.168.100.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledMulticast reserved groups joined: 224.0.0.9Outgoing access list is not setInbound access list is 1Proxy ARP is enabled【问题3】：如果把ACL作用在R1的fa0/0端口，相应的配置应该怎样改动？【问题4】：如果把上述配置的ACL在端口s0/0上的作用方向改为“out”，结果会怎样？⑹成功后在路由器R1上取消ACL，转为在R2路由器上禁止PC1所在网段访问：①在R2上配置如下：R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255R2(config)# access-list 2 permit anyR2(config)#interface fa0/0R2(config-if)#ip access-group 2 out②测试和查看结果的操作和步骤⑸基本相同，这里不再赘述。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

实验６标准ACL的配置
一、实验目的
熟悉标准ACL的配置方法及配置指令、验证ACL的工作原理。

二、实验内容及屏幕截图
1、实验6-1：在如图6.1的网络拓扑结构中，配置ACL。

要求:允许主机1访问Router1，拒绝主机1外的10.1.1.0网段访问Router1，允许其他流量访问R1，先在整个网络上配置RIP,使整个网络可以通信,再配置标准ACL,并验证。

图6.1 网络拓扑图
配置与验证过程，如截图6-１所示：
R１路由器端口配置：
R１路由协议配置：
R１路由器ACL配置：
R２路由器端口配置：
R２路由协议配置：
R２路由器ACL配置：
ACL验证：
2、实验6-2：在如图6.2的网络拓扑结构中，配置ACL。

在如下图所示的网络中，要求在61.128.64.0这个网段上只允许主机61.128.64.1访问网段2，网段3(172.16.0.0)可以访问网段2，其他的任何主机对网段2的访问均被拒绝。

图6.2 网络拓扑图
配置与验证过程，如截图6-2所示：
三、实验分析与结论
1. in与out参数的含义？
2. ACL表如何绑定到端口上？
3. ACL的工作原理？
4. 实验结论。

acl基本配置实验总结ACL（Access Control List）是网络设备中常用的一种安全控制机制，用于限制网络流量的访问权限。

在网络配置实验中，基本的ACL配置是必不可少的一环，它能够帮助管理员实现对网络流量的精细化控制。

本文将对ACL基本配置实验进行总结，并介绍实验过程中需要注意的关键点。

一、实验目的本次实验的主要目的是学习和掌握ACL的基本配置方法，并了解其在网络安全中的重要作用。

通过实践操作，加深对ACL的理解，为今后在网络管理和安全中的应用打下基础。

二、实验环境本次实验使用的环境是一个模拟的网络拓扑结构，包括多个主机和网络设备。

通过连接这些设备，并进行相应的配置，实现ACL的功能。

三、实验步骤1. 配置网络设备：首先需要对网络设备进行基本的配置，包括设置IP地址、子网掩码、网关等。

这些配置将为后续的ACL配置提供基础支持。

2. 创建ACL规则：在网络设备中创建ACL规则，用于限制网络流量的访问权限。

ACL规则可以基于源IP地址、目标IP地址、协议类型等进行过滤。

管理员可以根据实际需求，设置不同的ACL规则。

3. 应用ACL规则：将ACL规则应用到网络设备的特定接口上。

通过应用ACL规则，可以限制特定接口的流量访问权限，提高网络的安全性。

4. 测试ACL配置：在ACL配置完成后，需要进行测试验证。

可以通过发送不同类型的网络流量，观察ACL规则是否生效，以及网络流量是否按照规则进行过滤。

四、实验总结ACL基本配置实验是学习网络安全中重要的一环。

通过实验，我深入了解了ACL的配置方法和原理，掌握了基本的ACL规则设置和应用。

ACL能够在网络中起到精细化的流量控制作用，提高网络的安全性和可管理性。

在实验过程中，我遇到了一些问题，例如配置错误导致ACL规则无法生效，或者配置过于复杂导致网络流量无法正常传输。

通过仔细分析问题原因，并进行相应的调整和修正，最终解决了这些问题。

通过本次实验，我还发现ACL配置需要考虑以下几个关键点：1. 精确的ACL规则：ACL规则应该尽可能精确，以避免对合法流量的误过滤。

实训名称：标准的ACL配置一、实训原理1、ACL二、实训目的1、了解标准的ACL的基本配置三、实训内容通过配置标准的ACL来阻止某一个IP地址的数据流四、实训步骤：1、配交换机2、配置出口路由器3、配置远程路收器3、再配PC机IP地址拓扑图具体步骤：交换机EnConfVlan 2Name jsbExitVlan 3Name xsbExitInt f0/2switchport mode accessswitchport access vlan 2int f0/3switchport mode accessswitchport access vlan 3int f0/1switchport mode trunk配置出口路由器EnConfInt f0/1No shutExitInt f0/1.2 encapsulation dot1Q 2Ip add 192.168.2.254 255.255.255.0 ExitInt f0/1.3encapsulation dot1Q 3Ip add 192.168.3.254 255.255.255.0 ExitInt f0/0Ip add 192.168.1.1 255.255.255.252No shutrouter ripversion 2network 192.168.1.0network 192.168.2.0network 192.168.3.0no auto-summaryaccess-list 1 deny host 192.168.2.1 //配置标准的ACL access-list 1 permit any //允许所有通过int F0/0ip access-group 1 out 应用ACL在接口下配置远程路由器EnConfInt f0/0Ip add 192.168.1.2 255.255.255.252No shutInt f0/1Ip add 12.1.1.1 255.255.255.252No shutExitrouter ripversion 2network 12.0.0.0network 192.168.1.0no auto-summary给PC机配置IP地址PC0:192.168.2.1/24，网关：192.168.2.254 PC1:192.168.3.1/24，网关：192.168.3.254 PC2:12.1.1.2/30，网关：12.1.1.1PC3:192.168.2.2/24. 网关：192.168.2.254五、实训结果1、在PC0下ping PC2 的IP地址1、在PC3下ping PC2 的IP地址。

实验二标准ACL基本配置一、实验目的：1、掌握标准访问控制列表的配置2、掌握标准ACL的查看及放置方法3、掌握ACL验证方法4、进一步掌握通配符掩码的应用二、实验要求：1、所有步骤要求单独完成三、实验内容或步骤：1、运行Packet Tracer 5.3软件，打开下载的“lab02-Standard-ACL.pkt”文件，内部网络和外部网络的路由、DHCP已经配置完毕。

2、根据下述安全要求配置标准ACL，并对配置结果进行验证。

要求必须在文件中利用文本框工具，注明每个安全要求是在哪台设备的哪个接口的哪个具体方向上进行控制的。

网络安全要求为：1）阻止91网络中IP地址最后一个十进制数大于55的设备（除了172.16.91.254）访问内/外部网络2）阻止Guest网络的用户访问校园网内部的FTP服务器3）只允许内部网络中的合法用户访问Internet4）由于检测到172.16.90.8这台机器不停地从外网http服务器上下载大量数据，需要阻止此IP地址访问http服务器5）只允许从192.168.0.0和192.168.1.0网络远程登录管理三层交换机3、使用show running-config命令查看你的配置是否正确，请注意：每个列表的最后有一句隐含的deny any命令。

4、使用show ip access-lists查看ACL配置情况。

使用show interface查看接口上运用的ACL信息，从而明确ACL是否被正确设置和应用。

5、使用ping命令或其他访问方式检验你的配置是否正确。

要求必须在文件中利用文本框工具，说明你的检验方法是什么。

6、按要求保存文件，重命名，上传到指定FTP服务器上。

四、讨论与思考：1、为什么在一般情况下要将标准ACL放在最靠近通信终端的设备接口上？2、在标准ACL配置应用过程中最容易犯的错误是什么？。