标准ACL配置与调试

实训八标准ACL配置与调试1．实训目标在这个实训中，我们将在思科路由器上配置标准ACL。

通过该实训我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。

2．实训拓扑实训的拓扑结构如图1所示。

图1 ACL实训拓扑结构3．实训要求根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。

本实训各设备的IP地址分配如下：⑴路由器R1：s0/0:192.168.100.1/24fa0/0:10.1.1.1/8⑵计算机PC1：IP：10.1.1.2/8网关：10.1.1.1⑶路由器R2：s0/0:192.168.100.2/24fa0/0:172.16.1.1/16⑷计算机PC2：IP：172.16.1.2/16网关：172.16.1.１4．实训步骤在开始本实训之前，建议在删除各路由器的初始配置后再重新启动路由器。

这样可以防止由残留的配置所带来的问题。

在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实训。

⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。

⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。

⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。

⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下：①R1#show ip routeGateway of last resort is not setR 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0C 192.168.100.0/24 is directly connected, Serial0/0C 10.0.0.0/8 is directly connected, FastEthernet0/0②R2#show ip routeGateway of last resort is not setC 192.168.100.0/24 is directly connected, Serial0/0R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0C 172.16.0.0/16 is directly connected, FastEthernet0/0⑸ R1路由器上禁止PC2所在网段访问：①在路由器R1上配置如下：R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)#interface s0/0R1(config-if)#ip access-group 1 in【问题1】：为什么要配置“access-list 1 permit any”？②测试上述配置：此时在PC2上ping路由器R1，应该是不同的，因为访问控制列表“1”已经起了作用，结果如图2所示：图2 在PC2上ping路由器R1的结果【问题2】：如果在PC2上ping PC1，结果应该是怎样的？③查看定义ACL列表：R1#show access-listsStandard IP access list 1deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276permit any (276 matches)④查看ACL在s0/0作用的方向：R1#show ip interface s0/0Serial0/0 is up, line protocol is upInternet address is 192.168.100.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledMulticast reserved groups joined: 224.0.0.9Outgoing access list is not setInbound access list is 1Proxy ARP is enabled【问题3】：如果把ACL作用在R1的fa0/0端口，相应的配置应该怎样改动？【问题4】：如果把上述配置的ACL在端口s0/0上的作用方向改为“out”，结果会怎样？⑹成功后在路由器R1上取消ACL，转为在R2路由器上禁止PC1所在网段访问：①在R2上配置如下：R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255R2(config)# access-list 2 permit anyR2(config)#interface fa0/0R2(config-if)#ip access-group 2 out②测试和查看结果的操作和步骤⑸基本相同，这里不再赘述。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

实验６标准ACL的配置
一、实验目的
熟悉标准ACL的配置方法及配置指令、验证ACL的工作原理。

二、实验内容及屏幕截图
1、实验6-1：在如图6.1的网络拓扑结构中，配置ACL。

要求:允许主机1访问Router1，拒绝主机1外的10.1.1.0网段访问Router1，允许其他流量访问R1，先在整个网络上配置RIP,使整个网络可以通信,再配置标准ACL,并验证。

图6.1 网络拓扑图
配置与验证过程，如截图6-１所示：
R１路由器端口配置：
R１路由协议配置：
R１路由器ACL配置：
R２路由器端口配置：
R２路由协议配置：
R２路由器ACL配置：
ACL验证：
2、实验6-2：在如图6.2的网络拓扑结构中，配置ACL。

在如下图所示的网络中，要求在61.128.64.0这个网段上只允许主机61.128.64.1访问网段2，网段3(172.16.0.0)可以访问网段2，其他的任何主机对网段2的访问均被拒绝。

图6.2 网络拓扑图
配置与验证过程，如截图6-2所示：
三、实验分析与结论
1. in与out参数的含义？
2. ACL表如何绑定到端口上？
3. ACL的工作原理？
4. 实验结论。

acl基本配置实验总结ACL（Access Control List）是网络设备中常用的一种安全控制机制，用于限制网络流量的访问权限。

在网络配置实验中，基本的ACL配置是必不可少的一环，它能够帮助管理员实现对网络流量的精细化控制。

本文将对ACL基本配置实验进行总结，并介绍实验过程中需要注意的关键点。

一、实验目的本次实验的主要目的是学习和掌握ACL的基本配置方法，并了解其在网络安全中的重要作用。

通过实践操作，加深对ACL的理解，为今后在网络管理和安全中的应用打下基础。

二、实验环境本次实验使用的环境是一个模拟的网络拓扑结构，包括多个主机和网络设备。

通过连接这些设备，并进行相应的配置，实现ACL的功能。

三、实验步骤1. 配置网络设备：首先需要对网络设备进行基本的配置，包括设置IP地址、子网掩码、网关等。

这些配置将为后续的ACL配置提供基础支持。

2. 创建ACL规则：在网络设备中创建ACL规则，用于限制网络流量的访问权限。

ACL规则可以基于源IP地址、目标IP地址、协议类型等进行过滤。

管理员可以根据实际需求，设置不同的ACL规则。

3. 应用ACL规则：将ACL规则应用到网络设备的特定接口上。

通过应用ACL规则，可以限制特定接口的流量访问权限，提高网络的安全性。

4. 测试ACL配置：在ACL配置完成后，需要进行测试验证。

可以通过发送不同类型的网络流量，观察ACL规则是否生效，以及网络流量是否按照规则进行过滤。

四、实验总结ACL基本配置实验是学习网络安全中重要的一环。

通过实验，我深入了解了ACL的配置方法和原理，掌握了基本的ACL规则设置和应用。

ACL能够在网络中起到精细化的流量控制作用，提高网络的安全性和可管理性。

在实验过程中，我遇到了一些问题，例如配置错误导致ACL规则无法生效，或者配置过于复杂导致网络流量无法正常传输。

通过仔细分析问题原因，并进行相应的调整和修正，最终解决了这些问题。

通过本次实验，我还发现ACL配置需要考虑以下几个关键点：1. 精确的ACL规则：ACL规则应该尽可能精确，以避免对合法流量的误过滤。

实训名称：标准的ACL配置一、实训原理1、ACL二、实训目的1、了解标准的ACL的基本配置三、实训内容通过配置标准的ACL来阻止某一个IP地址的数据流四、实训步骤：1、配交换机2、配置出口路由器3、配置远程路收器3、再配PC机IP地址拓扑图具体步骤：交换机EnConfVlan 2Name jsbExitVlan 3Name xsbExitInt f0/2switchport mode accessswitchport access vlan 2int f0/3switchport mode accessswitchport access vlan 3int f0/1switchport mode trunk配置出口路由器EnConfInt f0/1No shutExitInt f0/1.2 encapsulation dot1Q 2Ip add 192.168.2.254 255.255.255.0 ExitInt f0/1.3encapsulation dot1Q 3Ip add 192.168.3.254 255.255.255.0 ExitInt f0/0Ip add 192.168.1.1 255.255.255.252No shutrouter ripversion 2network 192.168.1.0network 192.168.2.0network 192.168.3.0no auto-summaryaccess-list 1 deny host 192.168.2.1 //配置标准的ACL access-list 1 permit any //允许所有通过int F0/0ip access-group 1 out 应用ACL在接口下配置远程路由器EnConfInt f0/0Ip add 192.168.1.2 255.255.255.252No shutInt f0/1Ip add 12.1.1.1 255.255.255.252No shutExitrouter ripversion 2network 12.0.0.0network 192.168.1.0no auto-summary给PC机配置IP地址PC0:192.168.2.1/24，网关：192.168.2.254 PC1:192.168.3.1/24，网关：192.168.3.254 PC2:12.1.1.2/30，网关：12.1.1.1PC3:192.168.2.2/24. 网关：192.168.2.254五、实训结果1、在PC0下ping PC2 的IP地址1、在PC3下ping PC2 的IP地址。

实验二标准ACL基本配置一、实验目的：1、掌握标准访问控制列表的配置2、掌握标准ACL的查看及放置方法3、掌握ACL验证方法4、进一步掌握通配符掩码的应用二、实验要求：1、所有步骤要求单独完成三、实验内容或步骤：1、运行Packet Tracer 5.3软件，打开下载的“lab02-Standard-ACL.pkt”文件，内部网络和外部网络的路由、DHCP已经配置完毕。

2、根据下述安全要求配置标准ACL，并对配置结果进行验证。

要求必须在文件中利用文本框工具，注明每个安全要求是在哪台设备的哪个接口的哪个具体方向上进行控制的。

网络安全要求为：1）阻止91网络中IP地址最后一个十进制数大于55的设备（除了172.16.91.254）访问内/外部网络2）阻止Guest网络的用户访问校园网内部的FTP服务器3）只允许内部网络中的合法用户访问Internet4）由于检测到172.16.90.8这台机器不停地从外网http服务器上下载大量数据，需要阻止此IP地址访问http服务器5）只允许从192.168.0.0和192.168.1.0网络远程登录管理三层交换机3、使用show running-config命令查看你的配置是否正确，请注意：每个列表的最后有一句隐含的deny any命令。

4、使用show ip access-lists查看ACL配置情况。

使用show interface查看接口上运用的ACL信息，从而明确ACL是否被正确设置和应用。

5、使用ping命令或其他访问方式检验你的配置是否正确。

要求必须在文件中利用文本框工具，说明你的检验方法是什么。

6、按要求保存文件，重命名，上传到指定FTP服务器上。

四、讨论与思考：1、为什么在一般情况下要将标准ACL放在最靠近通信终端的设备接口上？2、在标准ACL配置应用过程中最容易犯的错误是什么？。

ACL配置规则与端口使用规则一、ACL配置规则概述1.什么是ACL（Access Control List）？–ACL是一种网络安全设备用于控制和管理网络流量的策略工具。

2.ACL的作用–通过规定网络上设备的进出规则，限制用户对网络资源的访问权限。

3.ACL的分类–标准ACL–扩展ACL–常用ACL二、标准ACL规则与配置1.标准ACL的基本特点–使用源IP地址进行过滤，无法过滤目标IP地址和端口号。

2.标准ACL的应用场景–限制特定IP地址或地址段的访问权限。

3.标准ACL的配置方法1.进入特定路由器的配置模式。

2.创建一个标准ACL。

3.定义ACL规则，包括允许或拒绝特定IP地址。

4.将ACL应用到接口上。

三、扩展ACL规则与配置1.扩展ACL的基本特点–使用源IP地址、目标IP地址、协议类型和端口号进行过滤。

2.扩展ACL的应用场景–根据具体的源和目标IP地址以及端口号来限制访问权限。

3.扩展ACL的配置方法1.进入特定路由器的配置模式。

2.创建一个扩展ACL。

3.定义ACL规则，包括允许或拒绝特定IP地址和端口号。

4.将ACL应用到接口上。

四、常用ACL规则配置示例1.打开特定端口–允许某个IP地址通过特定端口访问设备。

2.屏蔽特定IP地址–阻止某个IP地址访问设备。

3.防火墙配置–创建ACL规则，限制外部网络对内部网络的访问。

五、端口使用规则1.端口分类–知名端口（0-1023）–注册端口（1024-49151）–动态/私有端口（49152-65535）2.端口的作用–用于标识网络应用程序或服务。

3.端口使用规则–不同端口号对应不同网络服务。

–高端口号用于动态分配。

–常用端口号的列表。

六、ACL配置规则与端口使用规则的关系1.ACL与端口的关系–ACL可根据端口号进行过滤，限制特定端口的访问权限。

2.端口使用规则在ACL配置中的应用–ACL可根据端口号实现对不同网络服务的控制。

–根据端口使用规则设置ACL规则，保护网络安全。

实验三：路由器标准ACL配置一、实验目的:1. 路由器1.、路由器2、路由器3互连。

2. 配置标准ACL。

二、实验要求:拒绝PC2所在网段访问路由器R2，同时只允许主机PC3访问路由器R2 的Telnet 服务。

整个网络配置EIGRP保证IP的连通性。

三、实验步骤:1.首先在模拟器中构建出网络拓扑结构如下：2.分别配置路由器R1,R2,R3（同实验二）3.配置标准ACL，要求如下：整个网络配置EIGRP保证IP的连通性。

拒绝PC2所在网段访问路由器R2，同时只允许主机PC3访问路由器R2 的Telnet 服务。

路由协议EIGRP配置命令如下(eg:Router1)：Router#conf tRouter(config)#router eigrp 1Router(config-router)#net 192.168.3.0 0.0.0.255Router(config-router)#net 192.5.5.0 0.0.0.255Router(config-router)#net 201.100.11.0Router(config-router)#no autoRouter(config-router)#no auto-summaryRouter(config-router)# ^Z标准ACL配置命令如下(Router2):Router#conf tRouter(config)#access-list 1 deny 192.5.5.0 0.0.0.255 Router(config)#access-list 1 permit anyRouter(config)#int s0/0/1Router(config-if)#ip access-group 1 inRouter(config-if)#access-list 2 permit 223.8.151.3 Router(config)#line vty 0 4Router(config-line)#access-class 2 inRouter(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#^ZRouter#四、实验结果/调试1.Router2 ACL2.PC1网络主机3.PC2网络主机4.PC3网络主机五、实验小结通过这个实验，我进一步了解了对访问控制列表的理解，在同学的帮助下我对ip 地址以及rip协议相关的知识。

华为ACL配置全解教程一、什么是ACLACL（Access Control List）是一种用于控制网络访问的策略工具，可以限制特定网络流量的进出。

ACL通过定义规则，决定允许或拒绝特定IP地址、协议、端口号或应用程序访问网络的能力。

二、ACL的分类1.基于方向的分类：-入方向：指进入设备的数据流量。

-出方向：指离开设备的数据流量。

2.基于分类方式的分类：-标准ACL：仅根据源IP地址或目标IP地址进行过滤。

-扩展ACL：除源IP地址和目标IP地址外，还可以根据端口号、协议类型、标志位等进行过滤。

三、ACL的配置指南1.进入全局配置模式：```[Huawei] system-view```2.创建ACL：```[Huawei] acl number 2000```其中，2000为ACL的编号。

```[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.00.0.0.255```该命令表示在ACL2000中添加一条规则，拒绝源IP地址为192.168.0.0/24的流量。

规则可以根据实际需求，设置允许或拒绝特定的IP地址、协议、端口号等。

4.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```该命令表示在ACL2000中添加一条规则，允许任意源IP地址的流量。

5.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```该命令表示在接口GigabitEthernet0/0/1上应用入方向的ACL 2000。

四、实例下面是一个示例，展示如何通过ACL配置，限制一些IP地址访问设备：1.创建ACL：```[Huawei] acl number 2000``````[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.10.0.0.0```3.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```4.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```这样，ACL 2000就应用在接口GigabitEthernet0/0/1的入方向上了。

acl的设置步骤和工作规则ACL（Access Control List）是一种用于控制网络设备访问权限的功能。

它可以根据设定的规则，限制特定IP地址或IP地址范围对网络资源的访问。

ACL的设置步骤和工作规则对于网络管理员来说非常重要，本文将对其进行详细介绍。

一、ACL的设置步骤1. 确定访问控制的需求：在设置ACL之前，首先需要确定网络中的哪些资源需要受到访问控制的限制。

这可以包括服务器、路由器、防火墙等网络设备。

2. 创建ACL规则：根据需求，创建ACL规则，确定哪些IP地址或IP地址范围可以访问特定的网络资源。

可以根据源IP地址、目的IP地址、协议类型、端口号等参数来定义规则。

可以使用数字表示法或名称表示法来表示IP地址范围。

3. 应用ACL规则：将创建好的ACL规则应用到相应的网络设备上。

这可以通过命令行界面或图形用户界面进行操作。

在应用ACL规则之前，需要确保网络设备已经启用了ACL功能。

4. 测试ACL规则：在应用ACL规则之后，需要进行测试以确保ACL规则能够正常工作。

可以尝试从受限制的IP地址访问网络资源，或者从允许访问的IP地址访问受限制的资源，以验证ACL规则的有效性。

5. 定期审查和更新ACL规则：ACL规则应该定期进行审查和更新，以适应网络环境的变化。

例如，当新增或删除了某些网络设备时，需要相应地更新ACL规则。

二、ACL的工作规则1. ACL规则的匹配顺序：当一个数据包到达网络设备时，ACL规则将按照特定的顺序进行匹配。

一般情况下，先匹配最具体的规则，然后再匹配更一般的规则。

如果有多个规则都匹配了同一个数据包，那么将根据匹配顺序的先后来确定应用哪个规则。

2. ACL规则的优先级：ACL规则可以设置优先级，以确保某些规则的应用顺序。

较高优先级的规则将会被先应用，而较低优先级的规则则会被忽略。

这可以用来处理特定的访问需求，例如允许特定IP 地址优先访问网络资源。

3. ACL规则的动作：ACL规则可以定义不同的动作，以控制数据包的处理方式。

配置路由器的ACL访问控制列表配置路由器的ACL访问控制列表一、介绍访问控制列表（Access Control List，简称ACL）是一种用于控制网络流量的安全策略，可帮助管理员限制特定IP地质、协议或端口的访问权限。

本文档将详细介绍如何配置路由器的ACL。

二、ACL基础知识ACL由一系列的规则组成，这些规则可以基于源IP地质、目标IP地质、协议、端口等进行筛选和匹配。

每条规则可以指定允许或禁止的动作，如允许通过、丢弃或重定向流量。

三、ACL的配置步骤1.登录路由器的管理界面使用用户名和密码登录路由器的管理界面，一般通过Web或SSH进行访问。

2.创建ACL在路由器的配置界面中，选择ACL选项，然后创建ACL按钮。

根据需要，选择标准ACL还是扩展ACL。

3.配置ACL规则输入ACL规则的详细信息，包括源IP地质、目标IP地质、协议、端口等，并指定允许或禁止的操作。

4.应用ACL将ACL应用到特定的接口或路由器的入口或出口方向上。

这样，ACL规则将在流量经过该接口时生效。

5.验证ACL可以通过ping、telnet或使用网络流量分析工具等方法验证ACL是否按照预期生效。

如有必要，可以进行调整和修改。

四、附件说明本文档没有附件。

五、法律名词及注释1.访问控制列表（ACL）：一种网络安全策略，用于限制特定IP地质、协议或端口的访问权限。

2.IP地质：Internet Protocol Address的缩写，用于唯一标识网络设备。

3.协议：在网络上进行通信和数据交换时所使用的规则集合。

4.端口：用于标识网络通信的不同应用或服务。

六、全文结束。

标准ACL配置
◆背景描述
你是花果山人民医院网络管理员，现在医院领导要求你对网络的数据流量进行控制。

医院现有住院部、门诊部、财务部三个部门接入医院内网，住院部、门诊部主机能够访问财务部收银机，但不能访问其他计算机。

◆实验目的
掌握通过配置网络设备控制网络数据流量的方法。

◆网络拓扑
◆实验环节
1、搭建网络拓扑，对交换机、计算机基本信息进行配置，IP地址全部使用内部
私用地址：192.168.101.0,192.168.102.0,192.168.103.0。

2、规划并配置vlan，并在三层交换机上实现vlan间的路由，规避广播。

3、在三层交换机上配置标准ACL，是网络流量控制符合要求。

◆实验测试
1、搭建网络，配置设备基本信息，规划并配置vlan，然后测试各vlan间的连
通性。

2、配置标准ACL，然后测试网络各终端计算机之间的访问控制情况。

交换机ACL原理及配置详解交换机ACL（Access Control List）是一种用于控制网络中数据流动的安全机制，它可以通过规则定义来确定允许或禁止一些特定的数据传输。

在交换机上配置ACL能够实现对网络流量进行过滤和限制，从而提高网络的安全性和性能。

ACL原理：ACL原理是基于“五元组”的匹配规则，包括：源IP地址、目的IP 地址、源端口号、目的端口号、传输协议。

通过对网络数据包的这些信息进行匹配，交换机可以根据ACL规则来决定是否允许该数据包通过。

ACL配置详解：1.创建一个ACL列表：在交换机上创建一个ACL列表，用于存储ACL规则。

```Switch(config)#ip access-list extended ACL_NAME```其中ACL_NAME是ACL列表的名称，可以根据实际情况进行命名。

2.添加ACL规则：向ACL列表中添加ACL规则，规定允许或禁止数据传输的条件。

```Switch(config-ext-nacl)#permit/deny protocol source_ipsource_port destination_ip destination_port```其中，protocol是要匹配的传输协议（如TCP或UDP），source_ip是源IP地址，source_port是源端口号，destination_ip是目的IP地址，destination_port是目的端口号。

可以通过多次输入以上命令来添加多个ACL规则。

3.应用ACL规则：将ACL列表应用到交换机的接口上，以实现对该接口上的数据传输进行过滤。

```Switch(config)#interface interface_type interface_numberSwitch(config-if)#ip access-group ACL_NAME {in ， out}```其中，interface_type是接口类型（如Ethernet或GigabitEthernet），interface_number是接口号，ACL_NAME是之前创建的ACL列表的名称，in表示进入该接口的数据流将被匹配ACL规则进行过滤，out表示从该接口发送的数据流将被匹配ACL规则进行过滤。

实验步骤与调试过程：1.拉好拓扑连线2.在每台路由器上配好相应的ip，并且配置eigrp实现全网互通3.在中间一台路由器上做访问控制列表并且应用在vty下进行试验调试：1.pingPC看是否能互通。

2.在中间路由器上查看定义的访问控制列表。

3.show ip interface实验结果：实验成功的完成，且得到如下结果:1.子网192.168.0.1能访问问子网192.168.0.1/24，其他子网则不能访问2.子网192.168.0.1能访问问子网192.168.0.1/24，其他子网则不能访问3.个人PC无法PING通路由器，无法访问路由器B上的WWW服务，但其他通行量可以通过4.个人PC无法PING通路由器，无法访问路由器B上的WWW服务，但其他通行量可以通过各个PC间能够互通做完ACL后控制部分主机不能互访功能实现查看访问控制列表显示拒绝那先流量通过查到那些借口应用了访问控制列表疑难小结：1、设计ACL，实现ping出现time out（超过限定时间2s没有收到ICPM包回复）实现：运用扩展ACL对icmp包的类型进行控制，在源的入口deny掉echo reply包2、设计ACL，实现ping出现unreachabel（中间路由器返回一个ICMP回应包告诉目标不可达）实现：禁止ping或者禁止中间学习到达目的网段得路由！3、设计一个扩展ACL，实现允许192.168.3.0网段的机器能够ping192.168.1.0网段的机器，但是 192.168.1.0网段的机器不能ping通192.168.3.0网段的机器的功能。

提示：方法一：运用扩展ACL对icmp包的类型进行控制，deny掉echo包方法二：在中间路由器上：Router#sho ip access-listsReflexive IP access list icmppermit icmp host 192.168.1.1 host 192.168.2.2 (121 matches) (time left 287) //动态生成一条允许回去的语句并且有时间限制Extended IP access list inban10 evaluate icmp20 deny ip any any (630 matches)Extended IP access list outban10 permit icmp any any reflect icmp (69 matches)20 permit ip any anyRouter(config-if)#ip access-group outban outRouter(config-if)#ip access-group inban in注意：要用静态路由，因为以上ACL配置会把动态路由协议的通告信息deny掉！实验报告主要内容：一、.(1).通过DynamipsGUI运行编写好的.NET网络拓扑文件(2)配置路由器基本参数(3)配置路由器和各工作站相应的IP地址、子网掩码等参数，配置路由器A的串行接口serial0/0接口时钟频率为64000(4).使用ping命令测试PC终端和路由器A之间、路由器A和路由器B 之间的连通性(5)配置路由器上的标准ACL，使得子网192.168.0.0/24中只有192.168.0.1可以访问子网192.168.1.0/24，禁止其他通信量(6)测试、检查配置好的ACL二、(1)配置访问控制列表语句和访问控制组语句(2)与第一步一样三、(1)设计、编写DynamipsGUI 所需要的.NET文件(2)通过DynamipsGUI运行编写好的.NET网络拓扑文件(3)配置路由器基本参数(4)配置路由器和各工作站相应的IP地址、子网掩码等参数，配置路由器A的串行接口serial0/0接口时钟频率为64000本参数(5)使用ping命令测试PC终端和路由器A之间、路由器A和路由器B之间的连通性。