实验十一：标准访问控制列表配置

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

《网络互联技术》课程实验指导书实验十一：标准访问控制列表配置当网络管理员想要阻止某一网络的所有通信流量时，或者允许来自某一特定网络的所有通信流量时，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表实现这一目标。

标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。

一、网络拓朴二、实验内容1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。

其结果是：（对于TCP数据包来说，访问是双向的，只要A不能访问B，则B也将不能访问A）●HostA和HostB之间可以通信，但无法访问HostC、HostD。

●HostC和HostD之间可以通信，但无法访问HostA、HostB。

2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止HostA、HostC访问Server E服务器。

由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量，因此，应该将ACL 访问控制列表放置离目标地址最近的地方。

三、实验目的1、掌握标准访问控制列表的原理2、掌握标准访问控制列表的配置四、实验设备1、一台台思科（Cisco）3620路由器2、两台思科（Cisco）2950二层交换机3、思科（Cisco）专用控制端口连接电缆4、四台安装有windows 98/xp/2000操作系统的主机5、一台提供WWW服务的WEB服务器6、若干直通网线与交叉网线五、实验过程（需要将相关命令写入实验报告）1、根据上述图示进行交换机、路由器、主机的连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255Router(config)# access-list 6 permit anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 6 outRouter(config-if)# exit5、配置访问控制列表10并将之添加到Ethernet 0/1接口的out方向上Router(config)# access-list 10 deny host 192.168.1.2Router(config)# access-list 10 deny host 192.168.2.2Router(config)# access-list 10 permit anyRouter(config)# interface ethernet 0/1Router(config-if)# ip access-group 10 outRouter(config-if)# exit6、查看设置的访问控制列表信息Router# show access-lists7、查看e 0/0 接口上设置的访问控制列表信息Router# show ip interface e 0/08、查看e 0/1 接口上设置的访问控制列表信息Router# show ip interface e 0/1六、思考问题1、请简述标准访问控制列表与扩展访问控制列表有何区别？2、请简述设置标准访问控制列表的操作过程。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

标准、扩展、名称访问控制列表配置2008-09-06 16:45:41| 分类：网络试验| 标签：acl 访问控制列表|字号大中小订阅试验目的：熟悉标准访问控制列表的应用。

试验设备：r1、r2、r3、sw1、sw2、vpcs。

说明：在全网均能连通的情况下完成试验，注意：标准访问控制列表放置原则是，尽可能离目标地址近。

试验内容：由于基本访问控制列表的放置原则，所以我们知道应该在r3上设置ACL，并且将其放置在r3的e1/0接口上。

1、只允许命令如下：r3(config)#access-list 1 permit /定义一个ACL名字为1，只允许，注意:这里的通配符掩码中0表示必须符合，1表示可以不同，所以，而第四位可以任意。

r3(config)#int e1/0/进入端口E1/0r3(config-if)#ip access-group 1 out/将ACL 1应用在该接口上，控制出站数据流。

这时可以试验，从不同的网络PING PC6的IP地址，并且还可以PING R3的E1/0地址，除了，都只能到达2、只允许PC1:首先执行r3(config)#no access-list 1删除掉刚才建立的内容以便后续试验。

r3(config)#access-list 1 permit host /只允许，host 效果等同于这时就只有pc1能ping通pc6了，请读者在pc1和pc3上ping pc6。

3、只拒绝r3(config)#no access-list 1/删除前面建立的列表r3(config)#access-list 1 deny /只拒绝r3(config)#access-list 1 permit any/允许通过所有数据，any表示所有网络，因为所有的ACL末尾都有条隐藏deny any（拒绝所有）的语句，所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。

请读者自行测试。

标准访问控制列表实验访问控制列表有两种：一种是标准的访问控制列表，另一种是扩展的访问控制列表。

访问控制列表(ACL)是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。

至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表的应用：1、允许、拒绝数据包通过路由器2、允许、拒绝Telnet会话的建立3、没有设置访问列表时，所有的数据包都会在网络上传输4、基于数据包检测的特殊数据通讯应用标准访问控制列表应注意以下几点：1、检查源地址2、通常允许、拒绝的是完整的协议标准访问列表和扩展访问列表相比，标准的比扩展的简单。

下面我们来做一个关于标准访问控制列表的实验。

经过在路由上配置访问控制命令后，阻止R3 ping R2和R1，但是R3能ping通R4的端口s1/1和s1/2.实验的拓扑连接图如下：Router1 s1/2 <----> ip 192.168.1.2Router2 s1/2 <----> ip 192.168.2.2Router3 s1/2 <----> ip 192.168.3.2Router4 s1/1 <----> ip 192.168.1.1Router4 s1/2 <----> ip 192.168.2.1Router4 s1/3 <----> ip 192.168.3.1用到的模拟器版本为标准路由模拟器标准访问控制列表配置时候很简单，要用的设备也很简单，四台路由器，下面我们开始来做实验，第一步基本配置首先这是在路由器R4中的配置Route>enRoute#conf tRoute(config)#host R4R4(config)#int s1/1R4(config-if)#ip addr 192.168.1.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip addr 192.168.2.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/3R4(config-if)#ip addr 192.168.3.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#router ripR4(config)#network 192.168.1.0R4(config)#network 192.168.2.0R4(config)#network 192.168.3.0R4(config)#exitR4#show ip route接下来配置R1,R2,R3，配置ip和启动RIP路由,配置如下：R1的IP是192.168.1.2R1(config)#router ripR1(config)#network 192.168.1.0R2的IP是192.168.2.2R2(config)#router ripR2(config)#network 192.168.2.0R3的IP是192.168.3.2R3(config)#router ripR3(config)#network 192.168.3.0Ok配置完成后我们测试一下，最后结果是R3 ping通R1和R2，第二步配置标准访问控制列表R4(config)#access-list 1 deny 192.168.3.0 0.0.0.255----------访问控制列表号+许可的IP网段+反掩码R4(config)#access-list 1 permit anyR4(config)#int s1/1R4(config-if)#ip access-group 1 out------------在接口上应用配置R4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip access-group 1 outR4(config-if)#exitOk配置完成后我们测试一下，最后结果是R3 ping不通R1和R2，但是能R4的端口s1/1,s1/2标准访问控制列表的配置就这样的完成了…..。

实训11-1 标准IP访问控制列表的配置【实训目的】（1）理解IP访问控制列表的原理及功能；（2）掌握编号的标准IP访问控制列表的配置方法；【实训技术原理】IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性；IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1～99、1300～1999，100～199、2000～2699；标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用；^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^1．什么是访问控制列表ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。

ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。

按照其使用的范围，可以分为安全ACLs 和QoS ACLs。

对数据流进行过滤可以限制网络中的通讯数据的类型，限制网络的使用者或使用的设备。

安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行检查，根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。

总的来说，安全ACLs 用于控制哪些数据流允许从网络设备通过，Qos 策略对这些数据流进行优先级分类和处理。

ACLs 由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。

每个接入控制列表表项都申明了满足该表项的匹配条件及行为。

实验目的了解标准访问控制列表和扩展访问控制列表的基本知识和原理掌握两种访问控制列表的配置和检验实验环境实验内容（算法、程序、步骤和方法）一、先完成路由器各端口IP及各路由器默认路由的配置配置完成后，各路由器的路由表如下图：路由器1路由表：路由器5路由表：外部路由器路由表：（接上）实验内容（算法、程序、步骤和方法）完成以上配置之后，测试网络的连通性，从PC5 ping PC0,经Wireshark抓包验证网络通畅：发现未配置访问控制列表的时候，网络通畅，没有问题。

二、配置访问控制列表1、定义访问控制列表：Router_X(config)#access-list 1 permit 172.16.1.0 0.0.0.255Router_X(config)#access-list 1 deny 172.16.5.0 0.0.0.2552、应用访问控制列表Router_X(config)#int f0/1Router_X(config-if)#ip access-group 1 out测试：在PC1上ping 10.10.1.10 和网关10.10.1.1结果显示网络连通没有问题但是在PC5上ping 主机10.10.1.10不通，而ping网关10.10.1.1又是通的，这个现象很怪，然后开启wireshark在PC5和PC0上抓包Ping 10.10.1.10 得到如下结果PC5:PC0:由抓包可知，PC5只发出了四条request并没有收到任何reply。

而PC0收到了request也发送了reply可是被我们配置的ACL给拦截了，路由器debug显示：可见我们配置的out访问控制列表是检查数据包的目标ip来判断是permit还是deny的。

这个截图帮助了我们更好地理解访问控制列表的原理以及它是如何工作的。

但是书上说标准访问控制列表是根据数据包的源IP来允许或拒绝数据包的，这个和我实验得出的结论不一致。

13.标准访问列表的实现一．实训目的1.理解标准访问控制列表的概念和工作原理。

2.掌握标准访问控制列表的配置方法。

3.掌握对路由器的管理位置加以限制的方法。

二．实训器材及环境1．安装有packet tracer5.0模拟软件的计算机。

2．搭建实验环境如下：三．实训理论基础1．访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容。

访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。

数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。

访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。

2．访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。

标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。

3．ACL 的相关特性每一个接口可以在进入（inbound ）和离开（outbound ）两个方向上分别应用一个ACL ，且每个方向上只能应用一个ACL 。

ACL 语句包括两个动作，一个是拒绝（deny ）即拒绝数据包通过，过滤掉数据包，一个是允许(permit)即允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的ACL 起作用。

在路由选择决定以后，应用在接口离开方向的ACL 起作用。

每个ACL 的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。

4．ACL 转发的过程5．IP 地址与通配符掩码的作用规32位的IP 地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP 地址的对应位必须匹配，通配符掩码为1的位所对应的IP 地址位不必匹配。

标准访问控制列表配置实训一、实验目的本实训旨在让学生掌握标准访问控制列表的配置方法，理解其工作原理，并能够根据实际需求进行正确的配置。

二、实验设备1. 路由器或交换机2. 计算机或笔记本3. 网络线4. 模拟软件（如GNS3）三、实验步骤与配置示例步骤1：设备连接与基本配置1. 在模拟软件GNS3中，拖拽一个路由器图标并连接到两台计算机，分别命名为Router1和Router2。

2. 启动Router1和Router2，并进入命令行界面。

3. 对两台设备进行基本配置，包括设置主机名、IP地址等。

示例：Router1：Router>enableRouter#configure terminalRouter(config)#hostname Router1Router1(config)#ip dhcp pool pool1Router1(config)#ip dhcp pool pool2Router1(config)#interface GigabitEthernet0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface GigabitEthernet0/1Router1(config-if)#ip address 192.168.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254步骤2：配置标准访问控制列表（ACL）1. 在Router1上创建一个标准访问控制列表（ACL），允许源IP为192.168.1.0/24的数据包访问目标IP为192.168.2.0/24的数据包。

IP访问控制列表配置一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface fastethernet 0/1 注释：fa 1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第3步：应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0 注释：fa 0第4步：验证测试在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

路由器标准IP访问控制列表(ACLS)配置实验四川兴科城市交通技工学校---胡老师一、实验目的1、理解标准IP访问控制列表的原理及功能；2、掌握编号的标准IP访问控制列表的配置方法；二、实验目标假定四川兴科城市交通技工学校有“学工教务部“、“财务部“”和“招生部“，分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，学校领导要求招生部门不能对财务部进行访问，但学工教务部可以对财务部进行访问。

PC1代表学工教务部的主机、PC2代表招生部的主机、PC3代表财务部的主机。

三、技术实现规则1、ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。

ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；2、IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；3、标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；4、扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；5、IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；四、实验方法1、新建Packet Tracer拓扑图2、路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

3、配置路由器接口IP地址。

4、在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

5、在R1上编号的IP标准访问控制6、将标准IP访问控制应用到接口上。

7、验证主机之间的互通性。

五、实验设备PC 3台；Router-PT 2台；交叉线；DCE串口线；六、实验详细配置拓扑结构1、PC1：IP: 172.16.1.2Submask: 255.255.255.0Gageway: 172.16.1.12、PC2：IP: 172.16.2.2Submask: 255.255.255.0Gageway: 172.16.2.13、PC3：IP: 172.16.4.2Submask: 255.255.255.0Gageway: 172.16.4.14、Router01.//配置Router0联通的端口2.Router>en3.Router#conf t4.Router(config)#inter fa 0/05.Router(config-if)#ip address 172.16.1.1 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 1/08.Router(config-if)#ip address 172.16.2.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#inter s 2/011.Router(config-if)#ip address 172.16.3.1 255.255.255.012.Router(config-if)#no shutdown13.Router(config-if)#clock rate 6400014.Router(config-if)#exit5、Router11.//配置Router1联通的端口2.Router>en3.Router#conf t4.Router(config)#inter serial 2/05.Router(config-if)#ip address 172.16.3.2 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 0/08.Router(config-if)#ip address 172.16.4.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#exit6、Router0路由转发1.//配置Router0路由IP转发表，使路由转发来自跃点172.16.3.2的172.16.4.0目标段数据2.Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.27、Router1路由转发1.//配置Router1路由IP转发表，使路由转发来自跃点172.16.3.1的所有IP段的数据2.Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1七、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (success)测试成功！八、Router0准入配置1.//配置Router的IP准入2.Router(config）#3.Router(config-std-nacl)# ip access-list standard cisco //配置准入口令“cisco”4.Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //设置准入IP5.Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //设置拒接接入IP6.Router(config-std-nacl)# conf t7.Router(config)# int s 2/08.Router(config-if)# ip access-group cisco out //向serial2/0 接口发布准入口令九、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)上述实验过程测试通过，大家放心使用。

实验十一ACL访问控制列表的配置与应用一、实验目的：了解ACL作用并熟练配置ACL二、准备知识：ACL是路由器和交换机接口的指令列表，用来控制端口进出的数据包并且可以保护网络，ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

ACL种类:标准ACL、扩展ACL、命名式ACL、基于时间ACL、自反ACL、动态ACL。

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号。

标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

扩展ACL比标准ACL提供了更广泛的控制范围可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

命名式ACL可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。

在使用命名访问控制列表时，要求路由器的iOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

基于时间ACL就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效地控制网络。

首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

基于时间的ACL最多应用在定时断网，例如学校。

动态ACL是Cisco IOS 的一种安全特性，它使用户能在防火墙中临时打开一个缺口，而不会破坏其它已配置了的安全限制。

是能够自动创建动态访问表项的访问列表，动态访问表项是传统访问表项的一部分。

它可以根据用户认证过程来创建特定的、临时的访问表项，一旦某个表项超时，就会自动从路由器中删除。

在用户被认证之后，路由器会自动关闭telnet会话，并将一个动态访问表项置于某个访问表中，以允许源地址为认证用户工作站地址的报文通过。

自反ACL 允许从内部网络发起的会话的IP 流量，同时拒绝外部网络发起的IP 流量. 路由器检查出站流量，当发现新的连接时，便会在临时ACL 中添加条目以允许应答流量进入。

标准访问控制列表实验实验目的：通过标准访问控制列表的配置来实现禁止R2上的环回接口来PING R3上的环回接口。

实验要求：熟悉并且会做基本的访问控制列表的配置，明白访问控制列表的基本特性。

拓扑如图，接口的IP地址配置说下，R1上的S0为12.12.12.1. S1口为13.13.13.1。

R2上的S0口为12.12.12.2 LO0口为2.2.2.2。

R3上的S1口为13.13.13.3 LO0口为3.3.3.3。

我们先来分析下如何实现这个要求我们首先考虑下实现这个要求访问控制列表在那个接口上进行引用。

我们先来分析下在R2上的S0上是否可以引用如果可以是IN了还OUT。

R1上和R3上也是一样的。

这里先告诉大家R2上是不能配置的，因为访问控制列表只能对穿越的流量起控制作用对自己本身发起的流量起不了任何作用了。

R1和R3上的接口都可以引用。

这里的话我们先在R1的S0口进行配置方向为IN方向。

R1上的配置r1(config)#r1(config)#interface s0r1(config-if)#no shutdownr1(config-if)#ip add 12.12.12.1 255.255.255.0r1(config-if)#exitr1(config)#interface s1r1(config-if)#no shutdownr1(config-if)#ip address 13.13.13.1 255.255.255.0r1(config-if)#exitr1(config)#access-list 1 deny host 2.2.2.2 // 配置一个访问控制列表编号为1（1-99表示是标准的。

如果这里为100的话就是扩展的了）第一句话是拒绝主机地址为2.2.2.2的地址。

我们访问控制列表是有顺序的。

写在最前面的就是第一句r1(config)#access-list 1 permit any // 允许其他所有的数据通过，如果不写这句就是拒绝所有的数据了（在访问控制列表的最后一句是隐含拒绝一切数据）r1(config)#interface s0r1(config-if)#ip access-group 1 in // 在S0的接口上把访问控制列表给引用方向为IN方向。