ACL 实例

ACL编号：20001. 背景介绍ACL（Access Control List）是一种用于控制网络流量的重要工具，能够根据网络包的源IP位置区域、目的IP位置区域、协议类型等信息，对网络流量进行过滤和控制。

在网络安全管理中，ACL扮演着至关重要的角色，能够帮助管理员有效地保护网络安全。

2. ACL编号2000ACL编号2000是指定的ACL规则编号，用于对特定的网络流量进行管理和控制。

通过ACL编号2000，管理员可以对特定的IP位置区域、端口、协议等信息进行限制，从而实现对网络流量的精准控制。

3. ACL编号2000的应用场景ACL编号2000可以被广泛应用于网络安全管理中，以下是一些常见的应用场景：3.1. 对特定IP位置区域进行限制3.2. 对特定端口进行限制3.3. 对特定协议进行限制3.4. 对特定时间段进行限制3.5. 实现流量的分流和优化4. ACL编号2000的配置方法在网络设备上配置ACL编号2000需要遵循一定的步骤，以下是一般的配置方法：4.1. 进入网络设备的管理界面4.2. 进入ACL管理模块4.3. 创建ACL编号2000的规则4.4. 指定规则的匹配条件4.5. 指定规则的动作（允许、拒绝等）4.6. 应用该ACL规则5. ACL编号2000的管理和维护配置ACL编号2000之后，管理员需要对其进行管理和维护，以确保网络安全和流量控制的有效性，以下是一些常见的管理和维护方法： 5.1. 定期审查和更新ACL规则5.2. 监控ACL规则的生效情况5.3. 分析和记录ACL规则的流量情况5.4. 根据实际情况调整ACL规则的策略6. ACL编号2000的注意事项在使用ACL编号2000的过程中，需要注意以下一些重要的事项： 6.1. 避免配置重复的ACL规则6.2. 谨慎制定ACL规则的策略6.3. 防止ACL规则产生冲突和混乱6.4. 做好规则的备份和恢复工作7. ACL编号2000的优势和局限ACL编号2000作为网络安全管理的重要工具，具有一些明显的优势和局限，以下是一些典型的特点：7.1. 优势：精准的流量控制、灵活的配置管理、高效的网络安全保护 7.2. 局限：可能带来网络性能损耗、规则管理复杂、容易出现配置错误8. 结语ACL编号2000作为网络安全管理的重要组成部分，能够帮助管理员实现对网络流量的精细控制，保障网络安全和流量稳定。

ACL技术原理浅析及实例ACL（Access Control List）是网络安全中用于实现访问控制的一种技术，它通过对网络流量进行过滤，只允许特定的用户、IP 地址、端口等可以通过网络。

通常，ACL技术应用于路由器、交换机、防火墙等网络设备中。

ACL主要基于两种原理：允许列表和拒绝列表。

允许列表是指只有特定的用户、网络地址、端口等得到许可，其他所有的流量都被阻挡。

拒绝列表则是指特定的用户、网络地址、端口等被拒绝，其他所有的流量都被允许通过。

通常情况下，ACL的实现是基于拒绝列表，因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。

ACL可以应用于多种场景中，其中最常见的场景是网络边缘（如路由器和交换机）和防火墙控制。

以下是两个ACL实例：实例1：路由器ACL假设你有一个位于本地网络上的路由器，你需要保护其免受身份验证失败的攻击。

为了实现这一点，你可以使用ACL来控制每个进入该路由器的IP数据包。

为了创建ACL，你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表（standard IP extended access list）。

有了这个列表，你可以控制进入该路由器的每个数据包，以便仅允许经过授权的用户通过访问。

以下是创建标准IP扩展访问列表的示例命令：access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器，同时拒绝来自其他网络或单个IP地址的流量。

实例2：防火墙ACL假设你拥有一个防火墙来保护公共网络的安全，你需要实现对特定IP地址和端口的访问控制。

为了实现这个目标，你可以使用ACL来过滤掉所有未经授权的访问请求。

你需要创建一个标准ACE （Access Control Entry）列表，该列表包含允许和拒绝访问的IP地址、端口等信息。

以下是创建标准ACE列表的示例命令：access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问，同时拒绝所有其他来源的80端口访问请求。

访问控制列表ACL应用多种案例本文以华为设备为例ACL简介访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。

所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。

设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。

如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。

本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。

本文包含以下5个ACL应用案例1使用ACL限制FTP访问权限示例2使用ACL限制用户在特定时间访问特定服务器的权限示例3使用ACL禁止特定用户上网示例4配置特定时间段允许个别用户上网示例5使用ACL限制不同网段的用户互访示例使用ACL限制FTP访问权限示例组网需求如图1所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：子网1（172.16.105.0/24）的所有用户在任意时间都可以访问FTP服务器。

子网2（172.16.107.0/24）的所有用户只能在某一个时间范围内访问FTP 服务器。

其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。

图1 使用基本ACL限制FTP访问权限组网图操作步骤配置时间段<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:592014/12/31 //配置ACL生效时间段，该时间段是一个绝对时间段模式的时间段[Switch] time-range ftp-access 14:00 to 18:00 off-day //配置ACL生效时间段，该时间段是一个周期时间段，ftp-access最终生效的时间范围为以上两个时间段的交集配置基本ACL[Switch] acl number 2001[Switch-acl-basic-2001] rule permit source 172.16.105.00.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器[Switch-acl-basic-2001] rule deny source any //限制其他用户不可以访问FTP服务器[Switch-acl-basic-2001] quit配置FTP基本功能[Switch] ftp server enable //开启设备的FTP服务器功能，允许FTP 用户登录[Switch] aaa[Switch-aaa] local-user huawei password irreversible-cipherirreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码[Switch-aaa] local-user huawei privilege level 15 //配置FTP用户的用户级别[Switch-aaa] local-user huawei service-type ftp //配置FTP用户的服务类型[Switch-aaa] local-user huawei ftp-directory cfcard: //配置FTP用户的授权目录，在盒式交换机上需配置为flash:[Switch-aaa] quit配置FTP服务器访问权限[Switch] ftp acl 2001 //在FTP模块中应用ACL验证配置结果在子网1的PC1（172.16.105.111/24）上执行ftp 172.16.104.110命令，可以连接FTP服务器。

ACL技术原理浅析及实例什么是ACL？ACL（Access Control List，访问控制列表）是一种基于规则的访问控制机制，用于控制系统中的资源的访问。

ACL技术基于标准化的访问策略，允许系统管理员向各种资源、设备或文件中的用户或群组分配权限，从而允许或拒绝对资源的访问或执行操作。

ACL技术被广泛应用于网络安全、文件系统安全、操作系统安全、数据库安全等多个领域，是实施安全策略的必要手段之一。

ACL的分类ACL技术主要分为以下两种类型。

基于访问对象的ACL基于访问对象的ACL是根据访问对象来控制访问权限的。

这种ACL 包括访问列表，其中每个条目描述了一个已知的访问对象的访问策略集合。

每个访问列表都由一个列表头（list head）以及一组条目（entry）组成。

列表头包含列表的基本配置，例如名称、列表类型以及默认的访问策略。

基于用户身份的ACL基于用户身份的ACL是根据用户身份来控制访问权限的。

这种ACL 包括一组细粒度的规则，可以用来确定每个用户或群组对特定资源的访问权限。

基于用户身份的ACL可以分为两种类型：•定位（discretionary）ACL：由资源的所有者创建和管理，用来确定哪些用户可以访问资源。

这种ACL具有灵活性和细粒度的控制，但也有可能导致访问控制的不一致和维护困难。

•强制（mandatory）ACL：由系统管理员创建和管理，和基于定位ACL不同，强制ACL是由安全标签规定的，资源的访问权限是根据标签之间的规则来判断的。

这种ACL能够确保强制性安全策略的一致性，但是限制了资源的可用性和灵活性。

ACL的实例下面我们通过基于用户身份的ACL的实例来说明ACL技术在实际场景中的应用。

假设企业内部的员工工号、部门、职务、员工性质等数据都存储在Oracle数据库中，其中职务信息包含了各种不同权限的工作内容。

为了实现工号和职务之间的鉴权控制，需要使用ACL技术。

以Oracle数据库为例，我们可以使用Oracle Label Security（OLS）来实现强制ACL策略的管理。

ACL技术原理浅析及实例ACL（Access Control List）即访问控制列表，是一种网络安全规则，用于控制网络设备对网络数据的流动进行过滤和管理。

ACL技术原理以及实例如下。

一、ACL技术原理具体来说，ACL技术可以分为两种类型，即基于包过滤的ACL和基于上下文的ACL。

1.基于包过滤的ACL基于包过滤的ACL是最常见的ACL技术应用之一，也是最简单的一种。

它基于网络数据的源地址和目的地址、传输协议和端口号来决定是否允许数据包通过。

ACL规则通常包括两个部分，即匹配条件和操作方式。

匹配条件指定了要过滤的网络数据包所需满足的条件，操作方式则定义了匹配条件满足时采取的操作，如允许、阻止等。

2.基于上下文的ACL基于上下文的ACL技术相比于基于包过滤的ACL技术更为复杂。

它不仅考虑了数据包的源地址、目的地址、传输协议和端口号，还会根据网络上下文的情况作出决策。

上下文是指网络设备所处的环境和状态，如时间、用户身份、目标地址类型等。

基于上下文的ACL会根据这些上下文信息进行访问控制决策，从而实现更精细化的网络访问控制。

例如，根据时间段只允许特定用户访问一些特定网站。

二、ACL技术实例下面以两个具体的ACL技术实例来说明ACL技术的应用。

1.企业内部网络的访问控制企业内部的网络环境通常非常复杂，包含了大量的网络设备和用户。

为了保证内部网络的安全性，可以利用ACL技术设置访问控制策略。

例如，在一个企业内部网络中，只允许特定的IP地址范围的用户访问内部的数据库服务器。

管理员可以通过配置ACL规则，限制只有符合条件的用户才能访问数据库服务器，其他用户则被阻止访问。

2.公共无线网络的访问控制在公共场所提供无线网络服务时，为了防止未授权的用户访问网络设备，可以在无线接入点上设置ACL规则。

例如，在一个咖啡店提供的无线网络中，只允许购买咖啡的顾客访问无线网络，其他未购买咖啡的用户则无法连接无线网络。

管理员可以通过ACL技术设置访问控制规则，根据用户的MAC地址进行过滤，只允许被授权的MAC地址连接无线网络。

1.1 ACL典型配置举例1.1.1 组网需求●公司企业网通过设备Router实现各部门之间的互连。

●要求正确配置ACL，禁止其它部门在上班时间（8:00至18:00）访问工资查询服务器（IP地址为129.110.1.2），而总裁办公室（IP地址为129.111.1.2）不受限制，可以随时访问。

1.1.2 组网图图1-1配置ACL组网图1.1.3 配置步骤(1) 定义上班时间段# 定义8:00至18:00的周期时间段。

<Sysname> system-view[Sysname] time-range trname 8:00 to 18:00 working-day(2) 定义到工资服务器的ACL# 进入高级访问控制列表视图，编号为3000。

[Sysname] acl number 3000# 定义总裁办公室到工资服务器的访问规则。

[Sysname-acl-adv-3000] rule 1 permit ip source 129.111.1.2 0.0.0.0destination 129.110.1.2 0.0.0.0# 定义其它部门到工资服务器的访问规则。

[Sysname-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.20.0.0.0 time-range trname[Sysname-acl-adv-3000] quit(3) 应用ACL# 将ACL 3000用于Ethernet1/0出方向的包过滤。

[Sysname] firewall enable[Sysname] interface ethernet 1/0[Sysname-Ethernet1/0] firewall packet-filter 3000 outbound。

ACL访问控制列表配置实例分享ACL（Access Control List）访问控制列表是用于控制网络设备的数据流动和访问权限的一种重要网络安全技术。

通过配置ACL，我们可以限制特定IP地址或IP地址段的访问，实现对网络资源的精细化控制。

本文将分享ACL访问控制列表的配置实例，以帮助读者更好地理解和应用ACL技术。

一、ACL基础知识回顾在介绍ACL的配置实例之前，先回顾一下ACL的基础知识。

ACL分为标准ACL和扩展ACL两种类型。

标准ACL仅能根据源IP地址进行过滤，而扩展ACL则可以根据源IP地址、目的IP地址、端口号等多种条件进行过滤。

根据实际应用场景选择合适的ACL类型进行配置。

ACL配置中使用的关键字有：permit（允许通过），deny（拒绝通过），any（任意），host（主机），eq（等于），range（范围），log （记录日志）等。

具体配置过程根据不同网络设备和操作系统的差异而有所差异，本文以常见网络设备为例进行实例分享。

二、标准ACL配置实例标准ACL适用于仅按照源IP地址进行过滤的场景，下面是一个标准ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个标准ACL，命名为“ACL_Standard”。

3. 指定允许或拒绝访问的源IP地址段，例如192.168.1.0/24。

4. 应用ACL到指定的接口，例如应用到GigabitEthernet0/0接口。

5. 保存配置并退出。

三、扩展ACL配置实例扩展ACL可根据源IP地址、目的IP地址、端口号等多种条件进行过滤，适用于更为复杂的网络环境。

以下是一个扩展ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个扩展ACL，命名为“ACL_Extended”。

3. 指定允许或拒绝访问的源IP地址、目的IP地址、端口号等条件，例如允许源IP为192.168.1.0/24的主机访问目的IP为10.0.0.1的主机的HTTP服务（端口号为80）。

ACL原理及配置实例ACL是Access Control List的缩写，即访问控制列表，是网络设备上用来限制网络流量的一种功能。

ACL可以根据不同的条件对网络流量进行过滤和控制，以实现网络安全策略的目的。

ACL工作原理：ACL通过一个规则列表来决定对流量的处理方式，这个规则列表包含了匹配条件和动作两部分。

ACL会逐条匹配流量，并根据匹配结果执行相应的动作，通常包括允许、拒绝或者重定向到特定的目标地址。

ACL的规则列表按照优先级从高到低依次进行匹配，一旦匹配成功则不再进行后续的匹配。

因此，规则列表的顺序非常重要，应该将最常匹配的规则放在前面，这样可以提高ACL的效率。

ACL的配置实例：下面以思科路由器为例，演示ACL的配置过程。

1.创建一个ACL：首先，需要创建一个ACL用于定义规则列表。

ACL可以基于源地址、目标地址、源端口、目标端口、协议等条件进行过滤。

```Router(config)# ip access-list extended ACL_NAME```ACL_NAME是ACL的名称，可以自定义。

2.添加规则到ACL：在ACL中添加规则，来定义对网络流量的过滤行为。

每个规则都可以包含多个条件和一个动作。

```Router(config-ext-nacl)# permit/deny protocol source-address source-wildcarddestination-address destination-wildcard [operator [port]]```其中，protocol表示协议类型，可以是tcp、udp、icmp等；source-address和destination-address表示源地址和目标地址；source-wildcard和destination-wildcard表示源地址和目标地址的通配符掩码；operator表示具体的操作符，可以是eq、gt、lt、range等；port表示端口号或范围。

访问控制列表acl实验报告访问控制列表（ACL）实验报告引言在计算机网络中，访问控制列表（ACL）是一种用于控制网络资源访问权限的重要技术。

通过ACL，网络管理员可以限制特定用户或设备对网络资源的访问，从而提高网络安全性和管理效率。

为了深入了解ACL的工作原理和应用场景，我们进行了一系列的ACL实验，并撰写了本实验报告。

实验目的本次实验旨在通过搭建网络环境和配置ACL规则，探究ACL在网络安全管理中的作用和应用。

实验环境我们搭建了一个简单的局域网环境，包括一台路由器和多台主机。

路由器上运行着一个基于ACL的访问控制系统，可以对主机之间的通信进行控制。

实验步骤1. 配置ACL规则：我们首先在路由器上配置了一系列ACL规则，包括允许或拒绝特定主机的访问请求，以及限制特定协议或端口的通信。

2. 实施ACL控制：接下来，我们模拟了不同的网络访问场景，例如试图访问被ACL规则拒绝的资源、尝试使用被ACL规则限制的协议进行通信等，以验证ACL规则的有效性和准确性。

3. 分析实验结果：通过观察实验过程中的网络通信情况和ACL规则的生效情况，我们对ACL的工作原理和应用进行了深入分析和总结。

实验结果在实验过程中，我们发现ACL可以有效地限制不同主机之间的通信，保护网络资源的安全。

通过合理配置ACL规则，我们可以实现对特定用户或设备的访问控制，从而提高网络的安全性和管理效率。

结论ACL作为一种重要的网络安全技术，在实验中展现出了其强大的功能和应用价值。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用场景，为今后的网络安全管理工作提供了重要的参考和借鉴。

ACL将继续在网络安全领域发挥重要作用，我们也将继续深入研究和应用ACL技术，为网络安全做出更大的贡献。

网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】H3C三层交换机1台，PC 3台，标准网线3根。

【引入案例1】某公司建设了Intranet，划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门，各部门之间通过三层交换机（或路由器）互联，并接入互联网。

自从网络建成后麻烦不断，一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱，一会儿财务部抱怨研发部的人看了不该看的数据，一会儿领导抱怨员工上班时候整天偷偷泡网，等等。

有什么办法能够解决这些问题呢？【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响，例如，数据的安全性、员工经常利用互联网做些与工作不相干的事等等。

一方面，为了业务的发展，必须允许合法访问网络，另一方面，又必须确保企业数据和资源尽可能安全，控制非法访问，尽可能的降低网络所带来的负面影响，这就成了摆在网络管理员面前的一个重要课题。

网络安全采用的技术很多，通过ACL（Access Control List，访问控制列表）对数据包进行过滤，实现访问控制，是实现基本网络安全的手段之一。

【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法，是包过滤防火墙的一种重要实现方式。

ACL是在网络设备中定义的一个列表，由一系列的匹配规则（rule）组成，这些规则包含了数据包的一些特征，比如源地址、目的地址、协议类型以及端口号等信息，并预先设定了相应的策略——允许（permint）或禁止（Deny）数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上，并且具有方向性。

每个端口的出站方向（Outbound）和入站方向（Inbound）均可配置独立的ACL 进行包过滤。

出方向过滤基于ACL的包过滤当路由器收到一个数据包时，如果进入端口处没有启动ACL包过滤，则数据包直接提交路由器转发进程处理，如果进入端口处启动了ACL包过滤，则数据交给入站防火墙进行过滤，其工作流程如图所示。

实例1—标准访问控制列表：禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。

172.16.4.13可以正常访问172.16.3.0/24。

access-list 1 permit host 172.16.4.13 设置ACL，容许172.16.4.13的数据包通过。

access-list 1 deny any设置ACL，阻止其他一切IP地址进行通讯传输。

int e 1进入E1端口。

ip access-group 1 in将ACL 1宣告。

经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。

来自其他IP地址的数据包都无法通过E1传输。

小提示：由于CISCO默认添加了DENY ANY的语句在每个ACL中，所以上面的access-list 1 deny any这句命令可以省略。

另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。

实例2—扩展访问控制列表：禁止172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过惟独可以访问172.16.4.13上的WWW服务，而其他服务不能访问。

access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www设置ACL101，容许源地址为任意IP，目的地址为172.16.4.13主机的80端口即WWW服务。

由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。

int e 1进入E1端口ip access-group 101 out将ACL101宣告出去设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了，就算是服务器172.16.4.13开启了FTP服务也无法访问，惟独可以访问的就是172.16.4.13的WWW服务了。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192.168.2.2这台主机访问192.168.1.0/24这个网段中的服务器，而192.168.2.0/24这个网段中的其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192.168.2.2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0的出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192.168.2.0/24这个网段中的主机可以访问外网，192.168.1.0/24这个网段的主机则不可以。

3、设置访问控制列表3，只允许192.168.2.3这台主机可以使用telnet连接R1。

4、查看访问控制列表2 match(es)这些信息显示是过滤包的数据，可以使用clear access-list counters命令来清除。

5、查看配置在接口上的访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一是删除访问控制列表，二是取消访问控制列表有接口上的应用。

实验二：扩展访问控制列表扩展访问控制列表的语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP反码条件[eq] [具体协议/端口号]1、在SERVER上搭建WWW、FTP、DNS服务如下：2、测试从三台PC中是否可以正常访问各种服务。

如上表明，FTP、WWW、FTP服务都可以正常工作，且其余三台PC都可以正常访问。

3、在R1上设置扩展访问控制列表101，禁止192.168.2.2这台主机PING通服务器，禁止192.168.2.3这台主机访问FTP服务。

R1(config)#access-list 101 deny icmp host 192.168.2.2 host 192.168.1.2R1(config)#access-list 101 deny tcp host 192.168.2.3 host 192.168.1.2 eq 20R1(config)#access-list 101 deny tcp host 192.168.2.3 host 192.168.1.2 eq 21R1(config)#access-list 101 permit ip any anyR1(config)#int f0/1R1(config-if)#ip access-group 101 inR1#show access-lists 101Extended IP access list 101deny icmp host 192.168.2.2 host 192.168.1.2deny tcp host 192.168.2.3 host 192.168.1.2 eq 20deny tcp host 192.168.2.3 host 192.168.1.2 eq ftppermit ip any any4、在R1上设置扩展访问控制列表102，允许外网中的用户只能访问WWW服务。

防火墙ACL实验实验连接图图2 实验连线图1.配置好计算机的IP地址和子网掩码，计算机A的网关地址设置为10.100.110.100，计算机B的网关地址设置为10.100.120.1002.[RouterA] firewall enable[RouterA] interface E1[RouterA-E1]ip address 192.10.1.1 255.255.255.0[RouterA-E1]quit[RouterA] interface Ethernet 0[RouterA-Ethernet0]ip address 10.100.110.100 255.255.255.0 [RouterA-Ethernet0]quit[RouterA] ip route-static 10.100.120.0 255.255.255.0 192.10.1.2在计算机A上使用命令：Ping 10.100.110.100 ，Ping 192.10.1.1 [RouterB] firewall enable[RouterB] interface E1[RouterB-E1]ip address 192.10.1.2 255.255.255.0[RouterB-E1]quit[RouterB] interface Ethernet 0[RouterB-Ethernet0]ip address 10.100.120.100 255.255.255.0 [RouterB-Ethernet0]quit[RouterB] ip route-static 10.100.110.0 255.255.255.0 192.10.1.1在计算机B上使用命令：Ping 10.100.120.100，Ping 10.100.110.103. [RouterA] acl 10[RouterA-acl-10] rule normal deny source 10.100.110.10 0.0.0.0 [RouterA-acl-10] rule normal permit any source any[RouterA-acl-10] quit[RouterA] interface Ethernet 0[RouterA-ethernet0] firewall packet-filter 10 inbound在计算机B10.100.120.30上ping10.100.110.10在计算机B10.100.120.30上ping10.100.110.204. [RouterB] acl 101[RouterB-acl-101] rule normal deny ip source any destination 10.100.110.10 0.0.0.0[RouterB-acl-101] rule normal permit ip source any destination any[RouterB-E0] firewall packet-filter 101 inbound在计算机B10.100.120.30上ping10.100.110.10在计算机B10.100.120.30上ping10.100.110.20。