第14章 扩展IP访问控制列表配置

实验十三扩展IP访问控制列表的配置和应用13.1 实验概述1．实验目的在已掌握了标准IP访问控制列表工作原理、配置方法和应用特点的基础上，了解扩展IP访问控制列表与标准IP访问控制列表之间的区别，重点掌握扩展IP访问控制列表的功能特点。

同时，结合实际应用，掌握扩展IP访问控制列表的配置和使用方法。

2．实验原理例如，在图13-1 所示的网络中，企业内部有一台服务器，它可以同时提供Web服务和FTP服务，但是我们想让外部用户只能访问Web 服务而不能访问FTP服务，而内部用户不受限制，如何实现呢？图13-1 扩展IP 访问控制列表的应用很显然，标准IP 访问控制列表是不能实现上述要求的，它只能对数据包的源地址进行识别，如果用标准IP 访问控制列表允许了外部到服务器的访问，那么到服务器的所有流量都会被允许通过，包括Web和FTP。

因此标准IP访问控制列表的控制能力很小，无法实现本例的要求，而只能使用扩展IP 访问控制列表。

扩展IP 访问控制列表的定义方法类似于标准IP 访问列表，它的编号范围为100~199或2000~2699，命令格式如下：access-list access-list-number {permit|deny} protocolsource-address source-wildcard [operator port]destination-address destination-wildcard [operator port] [established] [log] 例如：access-list 110 deny tcp 172.16.3.0 0.0.0.255 host 172.16.1.2 eq 21，此命令拒绝了网络地址为172.16.3.0的主机访问172.16.1.2并且使用21端口的所有数据包，该命令还可以写为：access-list 110 deny tcp 172.16.3.0 0.0.0.255 host 172.16.1.2 eq ftp-data3．实验内容和要求（1）继续学习路由器的基本配置方法（2）了解标准IP访问控制列表与扩展IP访问控制列表之间的区别（3）掌握扩展IP访问控制列表的功能和应用特点（4）掌握扩展IP访问控制列表的配置方法13.2 实验规划1．实验设备（1）三层交换机（1 台）（2）测试和配置用PC （3 台）（3）直连双绞线（1 根）（4）配置用Console 电缆（1 根）2．实验拓扑扩展IP 访问控制列表一般放置在各类应用服务器的前端，为服务器上的各种应用起到安全保护作用，为此，本实验设计了如图13-2所示的网络结构。

Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表：上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的，是最简单的ACL。

那么如果我们希望将过滤细到端⼝怎么办呢？或者希望对数据包的⽬的地址进⾏过滤。

这时候就需要使⽤扩展访问控制列表了。

使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务（例如WWW，FTP等）。

扩展访问控制列表使⽤的ACL号为100到199。

扩展访问控制列表的格式：扩展访问控制列表是⼀种⾼级的ACL，配置命令的具体格式如下：access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务（WWW）TCP连接的数据包丢弃。

⼩提⽰：⼩提⽰：同样在扩展访问控制列表中也可以定义过滤某个⽹段，当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

⽹络环境介绍：我们采⽤如图所⽰的⽹络结构。

路由器连接了⼆个⽹段，分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务，IP地址为172.16.4.13。

配置任务：禁⽌172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过惟独可配置任务：以访问172.16.4.13上的WWW服务，⽽其他服务不能访问。

路由器配置命令：access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101，容许源地址为任意IP，⽬的地址为172.16.4.13主机的80端⼝即WWW服务。

标准、扩展、名称访问控制列表配置2008-09-06 16:45:41| 分类：网络试验| 标签：acl 访问控制列表|字号大中小订阅试验目的：熟悉标准访问控制列表的应用。

试验设备：r1、r2、r3、sw1、sw2、vpcs。

说明：在全网均能连通的情况下完成试验，注意：标准访问控制列表放置原则是，尽可能离目标地址近。

试验内容：由于基本访问控制列表的放置原则，所以我们知道应该在r3上设置ACL，并且将其放置在r3的e1/0接口上。

1、只允许命令如下：r3(config)#access-list 1 permit /定义一个ACL名字为1，只允许，注意:这里的通配符掩码中0表示必须符合，1表示可以不同，所以，而第四位可以任意。

r3(config)#int e1/0/进入端口E1/0r3(config-if)#ip access-group 1 out/将ACL 1应用在该接口上，控制出站数据流。

这时可以试验，从不同的网络PING PC6的IP地址，并且还可以PING R3的E1/0地址，除了，都只能到达2、只允许PC1:首先执行r3(config)#no access-list 1删除掉刚才建立的内容以便后续试验。

r3(config)#access-list 1 permit host /只允许，host 效果等同于这时就只有pc1能ping通pc6了，请读者在pc1和pc3上ping pc6。

3、只拒绝r3(config)#no access-list 1/删除前面建立的列表r3(config)#access-list 1 deny /只拒绝r3(config)#access-list 1 permit any/允许通过所有数据，any表示所有网络，因为所有的ACL末尾都有条隐藏deny any（拒绝所有）的语句，所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。

请读者自行测试。

扩展IP访问控制列表配置实验目标理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；实验背景你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了平安起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。

PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。

技术原理访问列表中定义的典型规那么主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表〔编号100-199、2000、2699〕使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规那么，进行数据包的过滤。

扩展IP访问列表的配置包括以下两部：i.定义扩展IP访问列表ii.将扩展IP访问列表应用于特定接口上实验设备PC 1台；Server-PT 1台；Router-PT 3台；交叉线；DCE串口线PC0IP:Submask:Gateway: Server0IP:Submask:Gateway:操作流程：Router0enconf thost R0ipno shutdownint fa 1/0ipno shutdownexitRouter1enconf thost R1int fa 1/0ipno shutdownint s 2/0ipno shutdownclock rate 64000Router2enconf thost R2ipno shutdownint fa 0/0ipno shutdownRouter0ip routeRouter2exitip routeRouter1eixtipipendshow ip routePC0ping 172.16.4.2(success)Web浏览器：://172.16.4.2(success) Router1conf taccess-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq wwwaccess-lint 100 deny icmp host 172.16.1.2 host 172.16.4.2 echoint s 2/0ip access-group 100 outendPC0Web浏览器：://172.16.4.2(success)ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)。

扩展的IP访问控制列表顾名思义，扩展的IP访问表用于扩展报文过滤能力。

一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。

一个扩展的IP访问表的一般语法格或如下所示:下面简要介绍各个关键字的功能:1.list number----表号范围扩展IP访问表的表号标识从l00到199。

2.protocol-----协议协议项定义了需要被过滤的协议，例如IP、TCP、UDP、1CMP等等。

协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。

另外，管理员应该注意将相对重要的过滤项放在靠前的位置。

如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。

但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。

3.源端口号和目的端口号源端口号可以用几种不同的方法来指定。

它可以显式地指定，使用一个数字或者使用一个可识别的助记符。

例如，我们可以使用80或者http来指定Web的超文本传输协议。

对于TCP和UDP，读者可以使用操作符 "<"(小于)、">"(大于)"="(等于)以及""(不等于)来进行设置。

目的端口号的指定方法与源端口号的指定方法相同。

读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。

下面的实例说明了扩展IP访问表中部分关键字使用方法:access-list 101 permit tcp any host 198.78.46.8 eq smtpaccess-list 101 permit tcp any host 198.78.46.3 eq www第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。

OSPF路由协议及扩展访问控制列表的配置实验报告一、实验目的1. 学习在路由器上配置OSPF协议2. 理解OSPF的工作过程3. 掌握路由器上编号的标准IP访问列表规则及配置4. 解标准访问控制列表和扩展访问控制列表的基本知识和原理二、实验要求1.在路由器R1和R2中分别启用OSPF协议，使R1和R2中的任意接口间可以连通。

2.在R1的F0/1口处封堵服务器的80端口，使得pc无法访问服务器的WWW服务，但可以ping通。

2.软件：windows系统、Cisco Packet Tracer软件3.硬件：1841路由器两台、计算机一台、服务器一台、连接线若干三、实验拓扑四、实验内容1.配置路由器，PC，服务器的IP：以下为配置R1的IP：Router(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.0.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exit2.配置OSPF路由协议，使设备之间可以互通以下为配置R1的OSPF协议Router(config)#router ospf 1Router(config-router)#network 192.168.1.0 0.0.0.255 area 0Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#exit3.配置配置扩展访问控制列表，禁止192.168.1.100访问192.168.3.100的80端口Router(config)#ip access-list extended 100 // 新建控制列表命名为100Router(config-ext-nacl)#deny tcp 192.168.1.100 0.0.0.0 192.168.3.100 0.0.0.0 eq 80 // 禁止192.168.1.100访问192.168.3.100的80端口Router(config-ext-nacl)#permit icmp any any // 允许访问其他端口（即可以ping通）Router(config-ext-nacl)#exitRouter(config)#interface fastEthernet 0/1 // 进入路由器0/1口Router(config-if)#ip access-group 100 in // 将刚才设置的访问控制列表加到0/1口Router(config-if)#exit附全部代码：对于路由器R1：Router>enableRouter#configureRouter(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#router ospf 1Router(config-router)#network 192.168.1.0 0.0.0.255 area 0Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#exitRouter(config)#ip access-list extended 100Router(config-ext-nacl)#deny tcp 192.168.1.100 0.0.0.0 192.168.3.100 0.0.0.0 eq 80 Router(config-ext-nacl)#permit icmp any anyRouter(config-ext-nacl)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip access-group 100 inRouter(config-if)#exit路由器R2：Router>enableRouter#configureRouter(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.2.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.3.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#router ospf 1Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#network 192.168.3.0 0.0.0.255 area 0Router(config-router)#exit五、实验结论1.192.168.1.100到192.168.3.100 可以ping通。

《网络互联技术》课程实验指导书实验十八：扩展访问控制列表配置如果只想允许外来的WEB通信流量通过，同时又要拒绝外来的FTP和Telnet等通信流量时，就要用扩展ACL来达到目的，而标准ACL却显得无能为力。

扩展ACL既可以检查数据包的源地址，也检查数据包的目的地址。

此外，还可以检查数据包特定的协议类型、端口号等。

这种扩展后的特性给了管理员更大的灵活性，可以灵活多变地设计ACL的测试条件。

一、实验内容在路由器的E 0/0 端口的in 方向上添加扩展IP访问控制列表101，功能：●禁止在192.168.1.2 主机中ping 192.168.2.2 主机●禁止192.168.1.2 主机以telnet方式登录路由器各接口和提供telnet服务的主机二、实验目的1、了解扩展访问控制列表的作用及工作原理。

2、掌握扩展访问控制列表的具体配置过程三、网络拓朴四、实验设备1、一台思科（Cisco）3620路由器（带四个以太网接口）2、两台思科（Cisco）2950二层交换机3、四台安装有windows 98/xp/2000操作系统的主机4、一台安装有web服务、telnet服务和ftp服务的服务器5、若干交叉网线与直通网线6、思科（Cisco）专用控制端口连接电缆五、实验过程（需要将相关命令写入实验报告）1、将路由器、交换机、主机根据如上图示进行连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口IP地址Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置路由器的虚拟终端登录端口Router# configure terminalRouter(config)# line vty 0 4Router(config-line)# password 940919Router(config-line)# loginRouter(config-line)# exit5、在PC1中尝试以telnet方式登录路由器（输入路由器虚拟端口密码即可正常登录）6、设置并作用扩展访问控制列表Router# configure terminalRouter(config)# access-list 101 deny icmp host 192.168.1.2 host 192.168.2.2Router(config)# access-list 101 deny tcp host 192.168.1.2 any eq telnetRouter(config)# access-list 101 permit ip any anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 101 inRouter(config-if)# exit7、在PC1中尝试以telnet方式登录路由器（无法登录）六、思考问题1、请简单比较标准访问控制列表与扩展访问控制列表的不同？2、一般来说，标准访问控制列表的放置位置与扩展访问控制列表的放置位置有什么不同，为什么？七、实验报告要求：按学院实验报告要求完成实验报告的书写。

路由器访问控制列表设置指南为了使家庭网络更加安全，许多人已经开始在家庭使用路由器的设备中添加访问控制。

这种方法可以控制网络上所使用的设备。

通过授权访问的设备可以按照其工作需要正常访问互联网，而无法访问该设备的设备则无法接入互联网。

然而，许多人对如何设置路由器的访问控制列表不是很清楚。

下面是一些有关路由器访问控制列表设置的指南。

1. 登录到路由器首先需要登录到你的路由器管理界面。

在浏览器中输入路由器的IP 地址，并输入管理员帐号和密码，就可以进入路由器的管理页面。

一般情况下，路由器的IP地址为192.168.1.1。

如果你不知道路由器的IP 地址，可以在路由器的说明书中找到。

2. 导航到访问控制列表页面在路由器管理页面中，找到“访问控制列表”选项。

根据不同的路由器型号，该选项的位置可能会有所不同。

你需要在路由器管理页面中查找菜单选项。

3. 启用访问控制启用访问控制功能前，需要找到“启用访问控制列表功能”的选项，并点击“启用访问控制列表”来开启该功能。

4. 添加设备添加设备的方式各个路由器的型号可能会略有不同。

在一些路由器中，您可以通过MAC地址来控制设备的数量。

您可以添加需要授权访问的设备的MAC地址，以便仅允许授权设备访问网络。

5. 授权或限制对设备的访问在添加设备后，就可以选择授权或限制该设备对互联网的访问权限。

您可以选择全天授权或在指定的时间段内授权，以便为授权设备设置更加严格的网络访问控制。

6. 保存设置并重启路由器在完成所有授权和限制操作后，可以保存设置并重新启动路由器，以使设置生效。

总结在家庭网络保护方面，配置路由器访问控制列表是一种聪明而重要的措施。

通过限制网络访问从而提高网络安全性，您能够确保家庭用户仅能使用授权的设备进行访问，从而保护您的设备和家庭网络的安全。

如果您的路由器只支持WPA / WPA2的加密，建议更换为支持WPA3加密的路由器，以获得更高级别的网络保护。

希望本篇文章对路由器访问控制列表的设置有所帮助。

扩展的访问控制列表一、不同类型的访问控制列表的列表号见表12-1二、扩展的访问控制列表我们已经在前面讲过。

比标准的ACL要灵活的多，下面具体介绍一下其配置方法：建立：：全局下：access-list 列表号{permit|deny} 协议源地址反码［匹配条件值］［源端口］目标地址反码［匹配条件值］［目标端口］其中［］中内容为可选内容，匹配条件值如为eq则是等于的意思。

如eq ftp是指访问的目的地是一台提供ftp的服务器。

如图12-11的例子三、建立完成后要在相应接口模式下应用接口下：ip access-group 列表号{in|out}具体演示看图12-12四、实现单向访问在扩展的访问控制列表后有这样一个参数，比较特殊。

即established ，如果在ACL中键入此选项即可在拒绝数据包通过的方向上，让已经建立起会话连接的TCP数据流通过(如TCP中的ACK确认包)，从而达到单向访问的目的。

看图12-13，也就是说在企业的应用中，可以在边界路由器上设置S0入口的拒绝条目，在其中加入此参数，意思是说只允许内部主机主动连接外部资源，这样的话，返回的数据包允许通过，但是外部资源无法主动连接内部主机。

五、不同种类的访问控制列表在网络中的应用位置对于过滤同一个源到同一个目的地的数据流量，在网络中应用标准的访问列表和扩展的列表的位置是不同的。

见图12-14在这个图当中，我们想阻止主机C访问主机A，有两种方法，第一种是标准ACLaccess-list 1 deny host 183.16.1.1access-list 1 permit any或者扩展的ACLaccess-list 101 deny ip host 182.16.1.1 host 11.1.0.1access-list 101 permit ip any any在上图中我们可以看到，如果把标准ACL放在路由器C的的SO接口，明显是错误的，因为主机C将无法访问别的资源如主机B。

IP访问控制列表配置一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface fastethernet 0/1 注释：fa 1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第3步：应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0 注释：fa 0第4步：验证测试在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

IP扩展访问控制列表的配置
左振辉
【期刊名称】《网络安全和信息化》
【年(卷),期】2016(000)010
【摘要】本文讨论利用IP扩展访问控制列表来实现网络应用服务访问控制的配置，其过程采用Cisco设备来进行演示。

包括扩展访问控制列表的配置方法与配置命
名的访问控制列表。

【总页数】2页(P125-126)
【作者】左振辉
【作者单位】甘肃
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于Packet Tracer配置访问控制列表的实验综述报告
2.扩展访问控制列表在校园网中的应用
3.在路由器上配置访问控制列表
4.访问控制列表配置仿真实验设计
5.Microchip推出全新低成本PIC32MX1/2/5系列32位单片机，提供功能丰富
的外设组合与可扩展的大容量存储配置
因版权原因，仅展示原文概要，查看原文内容请购买。