配置路由器的ACL访问控制列表

Router&Switch练习路由器的访问控制列表（ACL）实验一：HDLC和PPP封装1、实验目的：通过实验掌握访问控制列表（ACL）应用配置2、设备需求：Cisco 2514路由器三台，PC机3 台3、实验拓扑：试验目的：Pc1 所在网络不能访问R==2回环接口20.0.0.1 ，其余均可以出pc3所在网络的主机可以telnet路由器R==2 。

其余均不能4、配置步骤配置router1Router>Router>enableRouter#CON TRouter(config)#hostname r==1r==1(config)#interface serial 0r==1(config-if)#ip address 10.0.0.1 255.0.0.0r==1(config-if)#clock rate 9600r==1(config-if)#no shutdownr==1(config-if)#EXITr==1(config)#interface ethernet 0r==1(config-if)#ip address 192.168.1.1 255.255.255.0 r==1(config-if)#no shutdownr==1(config-if)#EXITr==1(config)#interface ethernet 1r==1(config-if)#ip address 192.168.2.1 255.255.255.0 r==1(config-if)#no shutdownr==1(config-if)#EXITr==1(config)#router eigrp 1r==1(config-router)#network 192.168.1.0r==1(config-router)#network 192.168.2.0r==1(config-router)#network 10.0.0.0r==1(config-router)#EXITr==1(config)#end配置router2Router>enableRouter#CON TRouter(config)#hostname r==2r==2(config)#interface serial 0r==2(config-if)#ip address 10.0.0.2 255.0.0.0 r==2(config-if)#no shutdownr==2(config-if)#EXITr==2(config)#interface loopback 0r==2(config-if)#ip address 20.0.0.1 255.0.0.0 r==2(config-if)#no shutdownr==2(config-if)#EXITr==2(config)#interface serial 1r==2(config-if)#ip address 30.0.0.1 255.0.0.0 r==2(config-if)#clock rate 64000r==2(config-if)#no shutdownr==2(config-if)#EXITr==2(config)#ROUr==2(config)#router eigrp 1r==2(config-router)#network 10.0.0.0r==2(config-router)#network 20.0.0.0r==2(config-router)#network 30.0.0.0r==2(config-router)#EXITr==2(config)#line vty 0 4r==2(config-line)#password yemar==2(config-line)#loginr==2(config)#access-list 1 deny 192.168.1.0 0.0.0.255r==2(config)#access-list 1 permit anyr==2(config)#interface serial 0r==2(config-if)#ip ar==2(config-if)#ip access-group 1 inr==2(config-if)#exitr==2(config)#access-list 2 permit 192.168.3.0 0.0.0.255 r==2(config)#line vty 0 4r==2(config-line)#access-class 2 inRouter3配置Router>enableRouter#CON TRouter(config)#hostname r==3r==3(config)#interface serial 1r==3(config-if)#ip address 30.0.0.2 255.0.0.0r==3(config-if)#no shutdownr==3(config-if)#EXITr==3(config)#interface ethernet 0r==3(config-if)#ip address 192.168.3.1 255.255.255.0r==3(config-if)#no shutdownr==3(config-if)#EXITr==3(config)#router eigrp 1r==3(config-router)#network 30.0.0.0r==3(config-router)#network 192.168.3.0r==3(config-router)#EXITr==3(config)#END5．分别各两台pc设IP与网关（略）6．根据实验目的测试（略）Pc1 所在网络不能访问R==2回环接口20.0.0.1 ，其余均可以出pc3所在网络的主机可以telnet路由器R==2 。

Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#ip address 12.12.12.1 255.0.0.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#no ip addressRouter(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#ip address 12.12.12.1 255.0.0.0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address 10.1.1.254 255.0.0.0Router(config-if)#ip address 10.1.1.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#ip address 12.12.12.1 255.255.255.252Router(config-if)# ip route 192.168.1.0 255.255.255.0 12.12.12.2Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)# router ripRouter(config-router)# network 10.1.1.254Router(config-router)# network 12.12.12.1Router(config-router)#exitRouter(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 80 Router(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq ?<0-65535> Port numberftp File Transfer Protocol (21)pop3 Post Office Protocol v3 (110)smtp Simple Mail Transport Protocol (25)telnet Telnet (23)www World Wide Web (HTTP, 80)Router(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 21Router(config)#access-list 100 permit ip any anyRouter(config)# interface f0/0Router(config-if)# ip access-group 100 inRouter(config-if)#exitRouter(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter# writeBuilding configuration...[OK]Router#Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#enRouter#enableRouter#conf tRouter#conf terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#Router0Router>enRouter#enableRouter#configure tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip route 192.168.1.0 255.255.255.0 12.12.12.2 //设置静态路由Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#router ripRouter(config-router)#network 10.1.1.0Router(config-router)#network 12.12.12.0Router(config-router)#exitRouter(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 80 Router(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 21 Router(config)#access-list 100 permit ip any anyRouter(config)#interface f0/0Router(config-if)#ip access-group 100 inRouter(config-if)#exitRouter(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#writeBuilding configuration...Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#Router(config)#ip route 10.1.1.254 255.255.255.0 12.12.12.1Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#enableRouter#conf tRouter#conf terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#router ripRouter(config-router)#network 12.12.12.2Router(config-router)#network 192.168.1.254Router(config-router)#exitRouter(config)#Router(config-if)#ip address 12.12.12.2 255.0.0.0Router(config-if)#ip address 12.12.12.2 255.255.255.252Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Router(config-if)#ip address 192.168.1.254 255.255.255.0Router(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter>enableRouter#conf tRouter#conf terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line vty 04Router(config-line)#password 123Router(config-line)#loginRouter(config-line)#exitRouter(config)#enable password 123Router(config)#end%SYS-5-CONFIG_I: Configured from console by console Router#Router>enRouter>enablePassword:Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry commentRouter(config)#access-list 1 deny host 192.168.1.0Router(config)#access-list 1 permit anyRouter(config)#end%SYS-5-CONFIG_I: Configured from console by console Router#exitStandard IP access list 1deny host 192.168.1.0permit any Router#。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

ACL访问控制列表配置与优化ACL（Access Control List）访问控制列表是用于网络设备实现流量控制和网络安全的一种技术。

通过ACL，可以根据规则过滤和限制网络流量，以实现对网络资源的保护和管理。

本文将介绍ACL访问控制列表的配置和优化方法。

一、ACL基本概念ACL是一组用于控制网络流量的规则集合，它根据规则匹配和处理数据包。

ACL可以基于源IP地址、目的IP地址、传输层协议（如TCP或UDP）、传输层端口号等信息对数据包进行过滤和限制。

ACL规则由许多条目组成，每个条目包含一个或多个匹配条件和一个动作。

匹配条件可以根据需要自定义，动作决定如何处理匹配到的数据包，可以是允许通过、拒绝或执行其他操作。

二、ACL配置方法1. 确定访问控制目标：在配置ACL之前，需明确要保护的网络资源和限制的网络流量类型，以便针对性地配置ACL规则。

2. 创建ACL规则：根据网络资源的保护需求和限制要求，设置ACL规则。

可以使用命令行界面（CLI）或图形用户界面（GUI）进行配置。

3. 规则优先级：规则的顺序非常重要，ACL规则按照从上到下的顺序逐条匹配，匹配成功后立即执行相应的动作。

因此，应将最常见或最具限制性的规则放在前面。

4. 匹配条件：根据需要设置匹配条件，常见的条件有源IP地址、目的IP地址、传输层协议和端口号等。

更复杂的条件可结合使用。

5. 动作设置：根据匹配结果设置动作，可以是允许通过、拒绝或执行其他操作，如重定向、日志记录等。

6. 应用ACL：在需要进行流量控制和保护的设备上应用ACL配置，使其生效。

三、ACL优化方法1. 精简ACL规则：定期审查ACL规则，删除不必要的规则。

过多或冗余的规则会影响ACL匹配性能。

2. 规则合并：将具有相同动作和相似匹配条件的规则合并，减少规则数量，提高ACL处理效率。

3. 设置默认规则：通过设置默认规则，对未匹配到的数据包进行统一配置，避免未预期的情况。

详解路由器配置A C L控制列表文件编码（008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256）如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。

什么是A C L？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供A C L的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的A C L语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。

实验四：访问控制列表（ACL）配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

2、访问控制列表的分类：1. 基本的访问控制列表（basic acl）2.高级的访问控制列表（advanced acl）3.基于接口的访问控制列表（interface-based acl）4. 基于MAC的访问控制列表（mac-basedacl）三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：可以飞鸽传书，可以PING通对方IP实验结果截图如下测试二：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：Router A/B这一组是通过配置AR28-1的ACL，使用与Router C/D这一组的PC机的飞鸽传书不能传输数据，可以发送聊天信息，可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答：ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。

每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。

由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

cisco访问控制列表acl所有配置命令详解Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP）0.0.0.255（反码）Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型）192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

ACL的使用ACL的处理过程：1.它是判断语句，只有两种结果，要么是拒绝（deny）,要么是允许（permit）2.语句顺序按照由上而下的顺序处理列表中的语句3.语句排序处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。

4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny）要点：1.ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理一因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

2.如果在语句结尾增加denyany的话可以看到拒绝记录3.CiscoACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用1~99以及1300~1999之间的数字作为表号，扩展的ACL使用100~199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）允许172.17.31.222通过，其他主机禁止Cisco-3750（config）#access-list1（策略编号）（1-99、1300-1999）permithost172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750（config）#access-list1denyhost172.17.31.222Cisco-3750（config）#access-list1permitany允许172.17.31.0/24通过,其他主机禁止Cisco-3750（config）#access-list1permit172.17.31.00.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750（config）#access-list1deny172.17.31.00.0.0.254Cisco-3750（config）#access-list1permitany二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

配置路由器的ACL访问控制列表配置路由器的ACL访问控制列表章节1：介绍ACL访问控制列表ACL（Access Control List）即访问控制列表，用于在网络设备上控制网络流量。

它可以根据规则过滤和控制网络流量的通过。

在配置路由器上的ACL访问控制列表时，我们需要明确规定哪些流量允许通过、哪些流量需要禁止，从而实现网络访问的控制和限制。

章节2：了解网络环境和需求在配置ACL访问控制列表之前，我们首先需要了解网络环境和需求。

这包括：●网络拓扑图：了解网络中各个设备的连接关系和布局。

●网络流量需求：了解不同用户和应用程序对网络的访问需求，包括允许通过的流量类型和禁止的流量类型。

章节3：创建ACL规则在路由器上配置ACL访问控制列表之前，我们需要先创建ACL规则。

ACL规则指定了流量过滤的条件和动作，即根据规则判断流量是否允许通过。

创建ACL规则时，需要考虑以下内容：●源IP地质和目标IP地质：根据需要过滤的源IP地质和目标IP地质，指定ACL规则。

●源端口和目标端口：根据需要过滤的源端口和目标端口，指定ACL规则。

●协议类型：根据需要过滤的协议类型，指定ACL规则。

●其他条件：根据需要，可以指定其他条件，如时间范围、访问控制级别等。

章节4：应用ACL规则到接口配置完ACL规则后，需要将这些规则应用到具体的接口上。

这样，才能使ACL规则生效并对流经该接口的网络流量进行过滤和控制。

应用ACL规则到接口的步骤包括：●选择接口：选择要应用ACL规则的接口，如LAN口或WAN口。

●配置入方向规则：指定ACL规则应用的方向，如入方向或出方向。

●关联ACL规则：将创建的ACL规则与接口进行关联，使其生效。

章节5：测试和验证ACL配置配置完ACL访问控制列表后，我们需要测试和验证配置的正确性和有效性。

这可以通过以下方式来进行：●发送测试流量：通过模拟实际流量，测试ACL规则是否按预期进行流量过滤和控制。

●监控流量日志：配置ACL日志功能，监控ACL规则的流量情况，并根据需要进行分析和调整。

配置路由器的ACL访问控制列表配置路由器的ACL访问控制列表一、介绍访问控制列表（Access Control List，简称ACL）是一种用于控制网络流量的安全策略，可帮助管理员限制特定IP地质、协议或端口的访问权限。

本文档将详细介绍如何配置路由器的ACL。

二、ACL基础知识ACL由一系列的规则组成，这些规则可以基于源IP地质、目标IP地质、协议、端口等进行筛选和匹配。

每条规则可以指定允许或禁止的动作，如允许通过、丢弃或重定向流量。

三、ACL的配置步骤1.登录路由器的管理界面使用用户名和密码登录路由器的管理界面，一般通过Web或SSH进行访问。

2.创建ACL在路由器的配置界面中，选择ACL选项，然后创建ACL按钮。

根据需要，选择标准ACL还是扩展ACL。

3.配置ACL规则输入ACL规则的详细信息，包括源IP地质、目标IP地质、协议、端口等，并指定允许或禁止的操作。

4.应用ACL将ACL应用到特定的接口或路由器的入口或出口方向上。

这样，ACL规则将在流量经过该接口时生效。

5.验证ACL可以通过ping、telnet或使用网络流量分析工具等方法验证ACL是否按照预期生效。

如有必要，可以进行调整和修改。

四、附件说明本文档没有附件。

五、法律名词及注释1.访问控制列表（ACL）：一种网络安全策略，用于限制特定IP地质、协议或端口的访问权限。

2.IP地质：Internet Protocol Address的缩写，用于唯一标识网络设备。

3.协议：在网络上进行通信和数据交换时所使用的规则集合。

4.端口：用于标识网络通信的不同应用或服务。

六、全文结束。

在路由器上配置访问控制列表文/唐玉娟一、路由器工作原理路由器工作在OSI模型中下三层，最高层为网络层，通过统一的第三层来屏蔽底两层的不同，从而实现多个独立的异种网互联，并通过路由表实现寻径。

由于是一个存储－转发设备，所以可以实现包的过滤、优先、排队等流量管理。

路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。

选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。

一般说来，异种网络互联与多个子网互联都应采用路由器来完成。

路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。

由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。

为了完成这项工作，在路由器中保存着各种传输路径的相关数据——路径表（Routing Table），供路由选择时使用。

路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。

路径表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。

路径表有两种，一个是静态路径表 ，由系统管理员事先设置好固定的路径表称之为静态（s t a t i c）路径表，一般是在系统安装时就根据网络的配置情况预先设定，它不会随未来网络结构的改变而改变。

第二种是动态路径表，动态（Dynamic）路径表是路由器根据网络系统的运行情况而自动调整的路径表。

路由器根据路由选择协议（Routing Protocol）提供功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。

主要的动态路由选择协议有RIP（Routing Information Protocol），适用于小型网络内，如校园网；OSPF（Open Shortest Path First Protocol），常用于中、大型网络内，如广域网、城域网和大型校园网；BGP4（Border Gateway Protocol v4），用于大型网络之间的互联，如CERENT和ChinaNet之间。

访问控制列表ACL一：访问控制列表概述〃访问控制列表（ACL）是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。

根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

〃实际应用：阻止某个网段访问服务器。

阻止A网段访问B网段，但B网段可以访问A网段。

禁止某些端口进入网络，可达到安全性。

二：标准ACL〃标准访问控制列表只检查被路由器路由的数据包的源地址。

若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。

如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

用1----99之间数字作为表号一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

〃标准ACL的配置：router（config）#access-list表号 deny(禁止)网段/IP地址反掩码********禁止某各网段或某个IProuter（config）#access-list表号 permit（允许） any注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0 =router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。

在路由器上实现访问控制列表试验描述：实验目的和要求：1.掌握在路由器上配置ACL的方法。

2.对路由器上已配置的ACL进行测试。

试验环境准备（GNS3）：3台路由器互联，拓扑图如下：3. 试验任务：（1）配制标准访问控制列表；（2）配制扩展访问控制列表；（3）配制名称访问控制列表；（4）配制控制telnet访问。

4. 试验容：OSPF，ACL，telnet试验步骤：1.运行模拟器，按照如下拓扑图进行部署。

2.R2路由器的基本配置。

3.R2路由器的基本配置。

4.R2路由器的基本配置5.R1 ping R26.R2 ping R37.R1 ping R3，要是能通就活见鬼了！8.现在在3台路由器上配置单区域OSPF，首先R1。

9.R2配置单区域OSPF。

10.R3配置单区域OSPF。

11.R3 ping R1，使用扩展ping的方式。

应该可以ping通了。

12.R1ping R3，使用扩展ping的方式。

应该可以ping通了。

13.在路由器R3上查看路由表时发现了一个10.1.1.1/32的主机地址条目，带有32位掩码。

这种情况最好加以避免，因为一旦在一个网络里路由器上所有的条目都出现在路由表上的话，路由器将使用大量的资源处理这些条目，太浪费了。

本试验中，这个主机条目的出现是因为R1使用了一个loopback接口，虽然是逻辑接口，如果在OSPF路由器上使用这种接口，其它运行OSPF的路由器学习到这个路由器的时候就会显示出一个主机条目。

消除这一现象可以通过将该网络设置为点到点即可。

分别在R1和R3上设置。

14.R1设置点到点。

15.R3设置点到点。

16.再看一下R3的路由表，那个主机条目消失了。

17.R1的路由表也没有出现主机条目。

18.要求禁止10.2.2.0/24网段所有用户访问10.1.1.0/24，由于标准访问控制列表只检查数据包中的源地址，一旦ACL禁止了源主机的地址，源主机就无法与目标主机通信了，但问题是源主机和别的网络节点的通信也被禁止了，杀伤围过大。