IP标准及扩展访问控制列表配置

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

实验十三扩展IP访问控制列表的配置和应用13.1 实验概述1．实验目的在已掌握了标准IP访问控制列表工作原理、配置方法和应用特点的基础上，了解扩展IP访问控制列表与标准IP访问控制列表之间的区别，重点掌握扩展IP访问控制列表的功能特点。

同时，结合实际应用，掌握扩展IP访问控制列表的配置和使用方法。

2．实验原理例如，在图13-1 所示的网络中，企业内部有一台服务器，它可以同时提供Web服务和FTP服务，但是我们想让外部用户只能访问Web 服务而不能访问FTP服务，而内部用户不受限制，如何实现呢？图13-1 扩展IP 访问控制列表的应用很显然，标准IP 访问控制列表是不能实现上述要求的，它只能对数据包的源地址进行识别，如果用标准IP 访问控制列表允许了外部到服务器的访问，那么到服务器的所有流量都会被允许通过，包括Web和FTP。

因此标准IP访问控制列表的控制能力很小，无法实现本例的要求，而只能使用扩展IP 访问控制列表。

扩展IP 访问控制列表的定义方法类似于标准IP 访问列表，它的编号范围为100~199或2000~2699，命令格式如下：access-list access-list-number {permit|deny} protocolsource-address source-wildcard [operator port]destination-address destination-wildcard [operator port] [established] [log] 例如：access-list 110 deny tcp 172.16.3.0 0.0.0.255 host 172.16.1.2 eq 21，此命令拒绝了网络地址为172.16.3.0的主机访问172.16.1.2并且使用21端口的所有数据包，该命令还可以写为：access-list 110 deny tcp 172.16.3.0 0.0.0.255 host 172.16.1.2 eq ftp-data3．实验内容和要求（1）继续学习路由器的基本配置方法（2）了解标准IP访问控制列表与扩展IP访问控制列表之间的区别（3）掌握扩展IP访问控制列表的功能和应用特点（4）掌握扩展IP访问控制列表的配置方法13.2 实验规划1．实验设备（1）三层交换机（1 台）（2）测试和配置用PC （3 台）（3）直连双绞线（1 根）（4）配置用Console 电缆（1 根）2．实验拓扑扩展IP 访问控制列表一般放置在各类应用服务器的前端，为服务器上的各种应用起到安全保护作用，为此，本实验设计了如图13-2所示的网络结构。

实验34 扩展访问控制列表配置【背景知识】教材6.2。

掌握扩展访问控制列表针对源地址和目的地址进行过滤的原理，掌握扩展访问控制列表的配置，掌握访问控制列表配置注意事项。

【实验拓扑】实验线路连接图8-44所示，实验时使用Cisco Packet Tracer5.2完成拓扑结构搭建。

图8-44 实验34线路连接图【实验内容】(1) 选择两台C2811 路由器、两台Switch、一台HTTP 服务器、两台计算机，按实验线路连接图进行连接。

连接好线路图后，分别在两台C2811路由器上安装WIC-2T模块。

(2) 配置HTTP服务器的IP 地址为200.200.200.2/24（网关200.200.200.1），配置两台计算机的IP 地址分别为210.31.10.2/24（网关210.31.10.1）和210.31.20.2/24（网关210.31.20.1），按实验线路连接图，分别配置C2811A 的f0/0、f0/1 和s0/0/0 接口IP地址，配置C2811B 的s0/0/0 和f0/0 接口的IP 地址。

【要求】将各台设备的名字改成自己的学号或拼音名。

若需要区别不同的路由器，可以在自己名字后面加上可区别的字段。

如假定自己的名字是zhangsan，那么路由器C2811A的设备名可改成zhangsan-C2811A。

(3) 在C2811A 和C2811B 上分别运行RIP路由协议，使得两台路由器可以相互学习路由信息。

RIP路由协议的配置，可以参考5.4.4。

(4) 参阅教材6.2.3 中内容，在C2811A上配置扩展访问控制列表，允许210.31.10.0/24和210.31.20.0 访问外部的Web服务，允许210.31.10.0/24 使用ICMP协议访问外部，不允许210.31.20.0/24 使用ICMP协议访问外部，其他任何访问均拒绝通过。

(5) 分别在210.31.10.2和210.31.20.2上使用Web Browser访问服务器200.200.200.2的Web 服务，均能访问，210.31.10.2 与200.200.200.2之间可以ping 通，210.31.20.2与200.200.200.2 之间不能ping 通。

第14章扩展IP访问控制列表配置技术原理访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域。

扩展IP访问列表（编号100-199，2000-2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

扩展IP访问列表的配置包括以下两步：定义扩展IP访问列表。

将扩展IP访问列表应用于特定接口上。

实验步骤新建Packet Tracer拓扑图（如下图）（1）分公司出口路由器与外部路由器之间通过V.35串口电缆连接，DCE端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置PC机、服务器及路由器接口IP地址。

（3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才能涉及到访问控制列表。

（4）在R2上配置编号的IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

路由器0：Router>enRouter#conf tRouter(config)#int fastEthernet 0/0Router(config-if)#ip address 172.16.1.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int f 1/0Router(config-if)#ip address 172.16.2.1 255.255.255.0Router(config-if)#no shutRouter(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2（设置默认静态路由）Router(config)#end路由器1：Router>enRouter#conf tRouter(config)#int f 0/0Router(config-if)#ip address 172.16.2.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int s 2/0Router(config-if)#ip address 172.16.3.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#clock rate 64000Router(config-if)#exitRouter(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1（设置静态路由）Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2（设置静态路由）Router(config)#endRouter#show ip route172.16.0.0/24 is subnetted, 4 subnetsS 172.16.1.0 [1/0] via 172.16.2.1C 172.16.2.0 is directly connected, FastEthernet0/0C 172.16.3.0 is directly connected, Serial2/0S 172.16.4.0 [1/0] via 172.16.3.2Router#conf tRouter(config)#access-list ?<1-99> IP standard access list<100-199> IP extended access listRouter(config)#access-list 100 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry commentRouter(config)#access-list 100 pRouter(config)#access-list 100 permit ?eigrp Cisco's EIGRP routing protocolicmp Internet Control Message Protocolip Any Internet Protocolospf OSPF routing protocoltcp Transmission Control Protocoludp User Datagram ProtocolRouter(config)#access-list 100 permit tcp ?A.B.C.D Source addressany Any source hosthost A single source hostRouter(config)#access-list 100 permit tcp hoRouter(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 ?eq Match only packets on a given port numberestablished establishedgt Match only packets with a greater port numberlt Match only packets with a lower port numberneq Match only packets not on a given port numberrange Match only packets in the range of port numbers<cr>Router(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq ?<0-65535> Port numberftp File Transfer Protocol (21)pop3 Post Office Protocol v3 (110)smtp Simple Mail Transport Protocol (25)telnet Telnet (23)www World Wide Web (HTTP, 80)Router(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www Router(config)#access-list 100 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry commentRouter(config)#access-list 100 deny ?eigrp Cisco's EIGRP routing protocolicmp Internet Control Message Protocolip Any Internet Protocolospf OSPF routing protocoltcp Transmission Control Protocoludp User Datagram ProtocolRouter(config)#access-list 100 deny icmp host 172.16.1.2 host 172.16.4.2 Router(config)#int s 2/0Router(config-if)#ip access-group 100 outRouter(config-if)#end路由器2：Router>enRouter#conf tRouter(config)#int s 2/0Router(config-if)#ip address 172.16.3.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int f 0/0Router(config-if)#ip address 172.16.4.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1（设置默认静态路由）Router(config)#end。

标准、扩展、名称访问控制列表配置2008-09-06 16:45:41| 分类：网络试验| 标签：acl 访问控制列表|字号大中小订阅试验目的：熟悉标准访问控制列表的应用。

试验设备：r1、r2、r3、sw1、sw2、vpcs。

说明：在全网均能连通的情况下完成试验，注意：标准访问控制列表放置原则是，尽可能离目标地址近。

试验内容：由于基本访问控制列表的放置原则，所以我们知道应该在r3上设置ACL，并且将其放置在r3的e1/0接口上。

1、只允许命令如下：r3(config)#access-list 1 permit /定义一个ACL名字为1，只允许，注意:这里的通配符掩码中0表示必须符合，1表示可以不同，所以，而第四位可以任意。

r3(config)#int e1/0/进入端口E1/0r3(config-if)#ip access-group 1 out/将ACL 1应用在该接口上，控制出站数据流。

这时可以试验，从不同的网络PING PC6的IP地址，并且还可以PING R3的E1/0地址，除了，都只能到达2、只允许PC1:首先执行r3(config)#no access-list 1删除掉刚才建立的内容以便后续试验。

r3(config)#access-list 1 permit host /只允许，host 效果等同于这时就只有pc1能ping通pc6了，请读者在pc1和pc3上ping pc6。

3、只拒绝r3(config)#no access-list 1/删除前面建立的列表r3(config)#access-list 1 deny /只拒绝r3(config)#access-list 1 permit any/允许通过所有数据，any表示所有网络，因为所有的ACL末尾都有条隐藏deny any（拒绝所有）的语句，所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。

请读者自行测试。

扩展IP访问控制列表配置实验目标理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；实验背景你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了平安起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。

PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。

技术原理访问列表中定义的典型规那么主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表〔编号100-199、2000、2699〕使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规那么，进行数据包的过滤。

扩展IP访问列表的配置包括以下两部：i.定义扩展IP访问列表ii.将扩展IP访问列表应用于特定接口上实验设备PC 1台；Server-PT 1台；Router-PT 3台；交叉线；DCE串口线PC0IP:Submask:Gateway: Server0IP:Submask:Gateway:操作流程：Router0enconf thost R0ipno shutdownint fa 1/0ipno shutdownexitRouter1enconf thost R1int fa 1/0ipno shutdownint s 2/0ipno shutdownclock rate 64000Router2enconf thost R2ipno shutdownint fa 0/0ipno shutdownRouter0ip routeRouter2exitip routeRouter1eixtipipendshow ip routePC0ping 172.16.4.2(success)Web浏览器：://172.16.4.2(success) Router1conf taccess-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq wwwaccess-lint 100 deny icmp host 172.16.1.2 host 172.16.4.2 echoint s 2/0ip access-group 100 outendPC0Web浏览器：://172.16.4.2(success)ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)。

扩展的IP访问控制列表顾名思义，扩展的IP访问表用于扩展报文过滤能力。

一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。

一个扩展的IP访问表的一般语法格或如下所示:下面简要介绍各个关键字的功能:1.list number----表号范围扩展IP访问表的表号标识从l00到199。

2.protocol-----协议协议项定义了需要被过滤的协议，例如IP、TCP、UDP、1CMP等等。

协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。

另外，管理员应该注意将相对重要的过滤项放在靠前的位置。

如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。

但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。

3.源端口号和目的端口号源端口号可以用几种不同的方法来指定。

它可以显式地指定，使用一个数字或者使用一个可识别的助记符。

例如，我们可以使用80或者http来指定Web的超文本传输协议。

对于TCP和UDP，读者可以使用操作符 "<"(小于)、">"(大于)"="(等于)以及""(不等于)来进行设置。

目的端口号的指定方法与源端口号的指定方法相同。

读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。

下面的实例说明了扩展IP访问表中部分关键字使用方法:access-list 101 permit tcp any host 198.78.46.8 eq smtpaccess-list 101 permit tcp any host 198.78.46.3 eq www第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。

网络控制协议配置与访问控制列表网络控制协议（Network Control Protocol，简称NCP）是一种用于配置和管理计算机网络设备的通信协议。

它定义了设备之间进行通信和数据传输的规范，帮助网络管理员实现网络流量的控制和管理。

与此同时，访问控制列表（Access Control List，简称ACL）是一种配置表，用于限制网络通信中的访问权限。

在本文中，我们将重点讨论网络控制协议的配置和访问控制列表的使用。

1.网络控制协议的配置网络控制协议的配置是网络管理的重要一环。

通过合理配置网络控制协议，我们能够实现网络设备的良好运行和管理。

下面介绍几种常见的网络控制协议及其配置方法：- 路由协议配置：路由协议用于决定网络中数据包的转发路径。

常见的路由协议有RIP（Routing Information Protocol）和OSPF（Open Shortest Path First）。

在配置过程中，需要设置协议的参数，如路由器之间的相邻关系、网络的距离等。

- VLAN配置：虚拟局域网（Virtual LAN，简称VLAN）是一种通过逻辑方式将不同物理局域网划分为虚拟子网的技术。

通过配置网络控制协议，可以将不同的端口划分为不同的VLAN，并通过VLAN间的路由器进行通信。

- NAT配置：网络地址转换（Network Address Translation，简称NAT）是一种将私有IP地址转换为公有IP地址的技术。

在进行NAT配置时，需要指定内部网络和外部网络的接口、IP地址映射规则等。

2.访问控制列表的使用访问控制列表是一种用于限制网络通信中的访问权限的配置表。

通过配置访问控制列表，我们能够实现对网络中特定主机或服务的访问控制。

下面介绍几种常见的访问控制列表及其使用方法：- 标准访问控制列表：标准访问控制列表（Standard ACL）是一种基于源IP地址进行过滤的访问控制列表。

通过配置标准访问控制列表，可以实现对特定源IP地址或地址范围的访问控制。

OSPF路由协议及扩展访问控制列表的配置实验报告一、实验目的1. 学习在路由器上配置OSPF协议2. 理解OSPF的工作过程3. 掌握路由器上编号的标准IP访问列表规则及配置4. 解标准访问控制列表和扩展访问控制列表的基本知识和原理二、实验要求1.在路由器R1和R2中分别启用OSPF协议，使R1和R2中的任意接口间可以连通。

2.在R1的F0/1口处封堵服务器的80端口，使得pc无法访问服务器的WWW服务，但可以ping通。

2.软件：windows系统、Cisco Packet Tracer软件3.硬件：1841路由器两台、计算机一台、服务器一台、连接线若干三、实验拓扑四、实验内容1.配置路由器，PC，服务器的IP：以下为配置R1的IP：Router(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.0.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exit2.配置OSPF路由协议，使设备之间可以互通以下为配置R1的OSPF协议Router(config)#router ospf 1Router(config-router)#network 192.168.1.0 0.0.0.255 area 0Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#exit3.配置配置扩展访问控制列表，禁止192.168.1.100访问192.168.3.100的80端口Router(config)#ip access-list extended 100 // 新建控制列表命名为100Router(config-ext-nacl)#deny tcp 192.168.1.100 0.0.0.0 192.168.3.100 0.0.0.0 eq 80 // 禁止192.168.1.100访问192.168.3.100的80端口Router(config-ext-nacl)#permit icmp any any // 允许访问其他端口（即可以ping通）Router(config-ext-nacl)#exitRouter(config)#interface fastEthernet 0/1 // 进入路由器0/1口Router(config-if)#ip access-group 100 in // 将刚才设置的访问控制列表加到0/1口Router(config-if)#exit附全部代码：对于路由器R1：Router>enableRouter#configureRouter(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#router ospf 1Router(config-router)#network 192.168.1.0 0.0.0.255 area 0Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#exitRouter(config)#ip access-list extended 100Router(config-ext-nacl)#deny tcp 192.168.1.100 0.0.0.0 192.168.3.100 0.0.0.0 eq 80 Router(config-ext-nacl)#permit icmp any anyRouter(config-ext-nacl)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip access-group 100 inRouter(config-if)#exit路由器R2：Router>enableRouter#configureRouter(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.2.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.3.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#router ospf 1Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#network 192.168.3.0 0.0.0.255 area 0Router(config-router)#exit五、实验结论1.192.168.1.100到192.168.3.100 可以ping通。

《网络互联技术》课程实验指导书实验十八：扩展访问控制列表配置如果只想允许外来的WEB通信流量通过，同时又要拒绝外来的FTP和Telnet等通信流量时，就要用扩展ACL来达到目的，而标准ACL却显得无能为力。

扩展ACL既可以检查数据包的源地址，也检查数据包的目的地址。

此外，还可以检查数据包特定的协议类型、端口号等。

这种扩展后的特性给了管理员更大的灵活性，可以灵活多变地设计ACL的测试条件。

一、实验内容在路由器的E 0/0 端口的in 方向上添加扩展IP访问控制列表101，功能：●禁止在192.168.1.2 主机中ping 192.168.2.2 主机●禁止192.168.1.2 主机以telnet方式登录路由器各接口和提供telnet服务的主机二、实验目的1、了解扩展访问控制列表的作用及工作原理。

2、掌握扩展访问控制列表的具体配置过程三、网络拓朴四、实验设备1、一台思科（Cisco）3620路由器（带四个以太网接口）2、两台思科（Cisco）2950二层交换机3、四台安装有windows 98/xp/2000操作系统的主机4、一台安装有web服务、telnet服务和ftp服务的服务器5、若干交叉网线与直通网线6、思科（Cisco）专用控制端口连接电缆五、实验过程（需要将相关命令写入实验报告）1、将路由器、交换机、主机根据如上图示进行连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口IP地址Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置路由器的虚拟终端登录端口Router# configure terminalRouter(config)# line vty 0 4Router(config-line)# password 940919Router(config-line)# loginRouter(config-line)# exit5、在PC1中尝试以telnet方式登录路由器（输入路由器虚拟端口密码即可正常登录）6、设置并作用扩展访问控制列表Router# configure terminalRouter(config)# access-list 101 deny icmp host 192.168.1.2 host 192.168.2.2Router(config)# access-list 101 deny tcp host 192.168.1.2 any eq telnetRouter(config)# access-list 101 permit ip any anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 101 inRouter(config-if)# exit7、在PC1中尝试以telnet方式登录路由器（无法登录）六、思考问题1、请简单比较标准访问控制列表与扩展访问控制列表的不同？2、一般来说，标准访问控制列表的放置位置与扩展访问控制列表的放置位置有什么不同，为什么？七、实验报告要求：按学院实验报告要求完成实验报告的书写。

路由器IP访问列表怎么设置大家都对路由器有一定的了解，接下来店铺给大家介绍路由器IP 访问列表的设置。

希望能帮到大家。

一、访问控列表的核心就是根据制定规则进行数据包的过滤，防止病毒包,扫描包，攻击包通过路由器去攻击网络，另外访问控制列表还可以限制网络流量，防止不必要的数据包通过路由，提高宽带利用率以及网络性能。

二、IP访问裤子列表的分类1、标准访问控制列表：只能检查数据包的源地址。

表号的范围是：1-99，扩展后是1300-1999。

2、扩展访问控制列表：检查数据包的源地址与目的地址。

根据原网络，目的网络，子网掩码，主机的IP地址决定数据包的过滤。

该列表还可以检查指定的协议以及端口号。

表号范围是100-199，扩展后是2000-2699。

三、配置访问控制列表1、依照这样的步骤进行：首先要建立控制列表，然后在配置过滤准则和端口，最后是配置应用接口。

2、对于标准控制列表：语法格式为：access-list accessliast-number permit /deny source wildcard-mask(这是访问控制列表的通配符)。

需要注意的是：标准呢访问控制列表仅仅检查数据包的源地址。

四、首先是设置条件，然后是进入端口，最后accesslist-number in.一般的permit 和deny是配合使用的，对于扩展访问控制列表：语法格式为：access-list access-list number permit/deny protocol source wildcard-mask destination wildcard-mask operator/operand，这里要注意acl的语句的顺序。

五、使用IP access-list命令1、首先在全局模式下：IP access-list extended/standerd access-list-number/name。

2、在扩展或标准访问控制模式下：permit/deny protocol source wildcard-mask destination wildcard-mask operator/operand。

实验十标准访问控制列表配置
实验目的
掌握路由器上标准IP访问控制列表规则及配置
实验原理
IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问控制列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP，目的IP，源端口，目的端口，协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用。

入栈应用是指由外部经该接口进行路由器的数据包进行过滤。

出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99，1300-1999，扩展IP访问列表编号范围是100-199，2000-2699。

实现功能
实现网段间互相访问的安全控制.
（1）允许172.16.1.0/24网段的主机访问PC3
（2）拒绝172.16.2.0/24网段的主机访问PC3
实验拓扑。

《网络原理与技术实验》实验报告实验名称：标准IP访问控制列表配置，扩展IP访问控制列表配置评分：________实验目的：理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；实验原理：ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。

ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；实验拓扑图：实验步骤：新建Packet Tracer拓扑图（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R0上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置路由器接口IP地址。

（3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在ip route 172.16.4.0 255.255.255.0 172.16.3.2 Router1exitip route 0.0.0.0 0.0.0.0 172.16.3.1endshow ip routePC0ping 172.16.4.2 (success)PC1ping 172.16.4.2 (success)Router0ip access-list standard 5ijsjpermit 172.16.1.0 0.0.0.255deny 172.16.2.0 0.0.0.255 (如果有上面的permit默认跟一个deny，所以此命令可不写)conf tint s 2/0ip access-group 5ijsj outendPC0ping 172.16.4.2 (success)PC1ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)实验二实验目的：理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；实验原理：访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表（编号100-199、2000、2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP地址的防火墙配置和访问控制列表IP地址是互联网通信的基础，它被用来识别和定位网络中的各个设备。

然而，在开放的互联网中，各种安全风险和威胁不可避免地存在。

为了保障网络的安全，防火墙配置和访问控制列表（ACL）的设置变得至关重要。

本文将探讨IP地址的防火墙配置和访问控制列表的作用、原理以及最佳实践。

一、IP地址的防火墙配置通过合理配置防火墙，可以实现对网络流量的精确控制和管理，有效地阻止潜在威胁的入侵。

以下是一些常见的IP地址防火墙配置措施：1. 网络隔离：网络中的不同子网可以通过配置防火墙规则进行隔离，使得内部网络和外部网络之间的通信受到限制。

例如，可以设置规则，只允许内部网络的用户访问特定的外部网络或服务器。

2. 端口过滤：通过防火墙配置，可以限制特定端口的访问权限，阻止未经授权的访问尝试。

例如，将对外开放的端口限制为仅允许特定IP地址的设备进行访问，可以防止非法访问和端口扫描攻击。

3. IP地址过滤：可以使用防火墙配置来限制特定IP地址的访问权限。

例如，禁止某个IP地址的设备访问企业内部的关键系统，从而提高信息安全性。

4. 流量过滤：防火墙可以基于协议（如TCP、UDP等）和数据包内容（如IP地址、端口号等）进行流量过滤。

通过设置过滤规则，可以阻止潜在的恶意流量，确保网络的正常运行。

5. 会话控制：防火墙可以用于控制网络会话的建立和终止。

例如，通过配置防火墙规则，可以限制连接过多的行为，从而防止DOS（拒绝服务）攻击。

二、访问控制列表（ACL）访问控制列表（ACL）是一种用于定义和控制网络流量的技术。

它基于规则集，确定了哪些流量被允许通过网络设备（如路由器、交换机）和哪些被阻止。

1. 标准ACL：标准ACL基于源IP地址来进行过滤和控制。

通过配置标准ACL规则，可以实现对特定IP地址或IP地址范围的过滤处理。

标准ACL通常用于限制对网络资源的访问。

2. 扩展ACL：扩展ACL基于源IP地址、目标IP地址和协议类型等信息来进行过滤和控制。

标准acl 扩展acl标准ACL（Access Control List）和扩展ACL是网络安全中常用的两种访问控制列表，用于控制网络设备上的数据流向和访问权限。

本文将对标准ACL和扩展ACL进行详细介绍，并比较它们之间的区别和适用场景。

ACL是一种基于规则的访问控制机制，通过在路由器、交换机等网络设备上配置ACL规则，可以限制数据包的流向和访问权限。

ACL可以根据源IP地址、目标IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而提高网络的安全性和管理效率。

首先，我们来介绍标准ACL。

标准ACL是最简单的一种ACL类型，它只能根据源IP地址来匹配数据包，并根据匹配结果决定是否允许数据包通过。

标准ACL的配置范围是1-99和1300-1999，其中1-99用于过滤IPV4数据包，1300-1999用于过滤IPV6数据包。

标准ACL通常用于实现简单的访问控制策略，比如限制某些特定的IP地址访问网络设备或特定的网络服务。

与标准ACL相对应的是扩展ACL。

扩展ACL可以根据源IP地址、目标IP地址、协议类型、端口号等多种条件对数据包进行匹配，并根据匹配结果决定是否允许数据包通过。

扩展ACL的配置范围是100-199和2000-2699，其中100-199用于过滤IPV4数据包，2000-2699用于过滤IPV6数据包。

扩展ACL相对于标准ACL来说，能够实现更加灵活和精细化的访问控制策略，因此在实际应用中更加常见。

在实际应用中，我们应该根据具体的网络环境和安全需求来选择合适的ACL类型。

如果只需要简单地限制某些特定的IP地址访问网络设备或特定的网络服务，可以选择标准ACL；如果需要实现更加灵活和精细化的访问控制策略，可以选择扩展ACL。

另外，我们还需要注意ACL的配置顺序，因为ACL是按照配置顺序逐条匹配的，所以配置顺序的不当可能会导致意外的网络访问问题。

总之，标准ACL和扩展ACL是网络安全中常用的两种访问控制列表，它们可以帮助我们实现对网络数据流向和访问权限的精细化控制。

3.12标准IP访问控制列表预备知识：一、实训目的二、应用环境三、实训要求1、实训设备2、实训拓扑图3、配置要求及连线要求4、实训效果PC1能PING通PC3，PC3不能PING通PC3。

四、实训思路五、实训步骤1、按实训拓扑图添加2台2811路由器和2台PC机，并按图连接网络。

2、按实训要求设置PC1、PC2、PC3的IP地址及网关（略）。

3、进入路由器R1命令行配置窗口，更改名称、配置接口地址和打开对应接口。

Router>enRouter#conf tRouter(config)#hostname R1R1(config)#int f0/0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#int f0/1R1(config-if)#ip add 200.11.2.1 255.255.255.0R1(config-if)#no shut4、分别测试PC1与PC3、PC2与PC3的连通性，如下图所示。

PC1与PC2连通。

PC2与PC3连通。

5、在路由器R1的全局配置模式下创建标准访问控制列表，阻止PC2访问PC3,如下所示。

R1(config-if)#exitR1(config)#access-list 1 deny host 192.168.1.3R1(config)#permit anyR1(config)#或：R1(config-if)#exitR1(config)#ip access-list standard 1R1(config-std-nacl)#deny host 192.168.1.3R1(config-std-nacl)#permit anyR1(config-std-nacl)#/*此时只创建了列表，没有应用到具体的接口前PC2与PC3还能连通*/6、在特权用户配置模式下使用“show ip access-lists”查看创建的访问控制列表。