标准ACL配置与调试

实验5 标准ACL配置与调试

1．实验目标

在这个实验中，我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。

2．实验拓扑

实验的拓扑结构如图1所示。

图1 ACL实验拓扑结构

3．实验要求

根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下：

⑴路由器R1：

s0/0:192.168.100.1/24

fa0/0:10.1.1.1/8

⑵计算机PC1：

IP：10.1.1.2/8

网关：10.1.1.1

⑶路由器R2：

s0/0:192.168.100.2/24

fa0/0:172.16.1.1/16

⑷计算机PC2：

IP：172.16.1.2/16

网关：172.16.1.１

4．实验步骤

在开始本实验之前，建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实验。

⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。

⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。

⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。

⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下：

①R1#show ip route

Gateway of last resort is not set

R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0

C 192.168.100.0/24 is directly connected, Serial0/0

C 10.0.0.0/8 is directly connected, FastEthernet0/0

②R2#show ip route

Gateway of last resort is not set

C 192.168.100.0/24 is directly connected, Serial0/0

R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0

C 172.16.0.0/16 is directly connected, FastEthernet0/0

⑸ R1路由器上禁止PC2所在网段访问：

①在路由器R1上配置如下：

R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255

R1(config)# access-list 1 permit any

R1(config)#interface s0/0

R1(config-if)#ip access-group 1 in

【问题1】：为什么要配置“access-list 1 permit any”？

②测试上述配置：

此时在PC2上ping路由器R1，应该是不同的，因为访问控制列表“1”已经起了作用，结果如图2所示：

图2 在PC2上ping路由器R1的结果

【问题2】：如果在PC2上ping PC1，结果应该是怎样的？

③查看定义ACL列表：

R1#show access-lists

Standard IP access list 1

deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276

permit any (276 matches)

④查看ACL在s0/0作用的方向：

R1#show ip interface s0/0

Serial0/0 is up, line protocol is up

Internet address is 192.168.100.1/24

Broadcast address is 255.255.255.255

Address determined by setup command

MTU is 1500 bytes

Helper address is not set

Directed broadcast forwarding is disabled

Multicast reserved groups joined: 224.0.0.9

Outgoing access list is not set

Inbound access list is 1

Proxy ARP is enabled

【问题3】：如果把ACL作用在R1的fa0/0端口，相应的配置应该怎样改动？

【问题4】：如果把上述配置的ACL在端口s0/0上的作用方向改为“out”，结果会怎样？

⑹成功后在路由器R1上取消ACL，转为在R2路由器上禁止PC1所在网段访问：

①在R2上配置如下：

R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255

R2(config)# access-list 2 permit any

R2(config)#interface fa0/0

R2(config-if)#ip access-group 2 out

②测试和查看结果的操作和步骤⑸基本相同，这里不再赘述。

【问题5】：当我们把ACL作用的路由器的某个接口上时，“in”和“out”的参照对象是谁？