基本访问控制列表

H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

对于ACL，可能很多用户还不熟悉怎么设置，本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图，创建四个vlan，对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为，确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略，将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明：l acl只是用来区分数据流，permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier;l 将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

acl基本类型
ACL（Access Control List） Access Control List，中文名叫访问控制列表，一般也叫做权限控制列表，是管理读写权限的有效手段，是访问控制的重要方式，主要有以下几种基本类型：
1、文件访问控制列表：文件访问控制列表（FACL）是权限控制列表的一种形式，它定义了文件的操作，包括读，写，执行，删除等。

2、程序访问控制列表：程序访问控制列表（PACL）是关于程序的操作权限的控制列表，包括对程序的启动，停止，重启等操作的权限控制。

3、设备访问控制列表：设备访问控制列表（DACL）是用来控制设备的操作权限，比如USB设备，网络设备等。

4、网络访问控制列表：网络访问控制列表（NACL）是对网络上的流量进行控制的方式，像IP访问控制列表（IPARL）等都是其中的一种实现形式。

5、数据库访问控制列表：数据库访问控制列表（DACL）是数据库专用的权限控制列表，它控制着访问数据库的用户能够做什么以及不能做什么的操作。

- 1 -。

华为基本ACL的编号范围1. 什么是ACL？ACL（Access Control List）即访问控制列表，是一种用于网络设备中实现安全策略的技术。

ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而限制网络流量的进出。

华为基本ACL是华为公司在其网络设备上实现的一种基本访问控制列表。

它允许管理员通过配置规则来限制或允许特定类型的数据包通过网络设备。

2. 华为基本ACL编号范围在华为设备上，每个ACL规则都有一个唯一的编号，用于标识该规则。

华为基本ACL规则的编号范围是1-3999。

其中，1-199表示标准ACL规则，200-299表示扩展ACL规则，300-399表示高级ACL规则。

2.1 标准ACL标准ACL是最简单和最常用的一种ACL类型。

它只能根据源IP地址来过滤数据包，并且只能对IP头部进行匹配操作。

标准ACL规则的编号范围是1-199。

管理员可以根据需要自定义标准ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例标准ACL配置：acl number 10rule 10 permit source 192.168.1.0 0.0.0.255rule 20 deny source any上述配置中，ACL编号为10的标准ACL规则允许源IP地址为192.168.1.0/24的数据包通过，拒绝其他源IP地址的数据包通过。

2.2 扩展ACL扩展ACL相比标准ACL更为灵活，可以根据源IP地址、目的IP地址、协议类型、端口号等条件来过滤数据包，并且可以对TCP和UDP头部进行精确匹配操作。

扩展ACL规则的编号范围是200-299。

管理员可以根据需要自定义扩展ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例扩展ACL配置：acl number 2000rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination any eq wwwrule 10 deny ip source any destination any上述配置中，ACL编号为2000的扩展ACL规则允许源IP地址为192.168.1.0/24、目的端口号为80（HTTP）的TCP数据包通过，拒绝其他类型的数据包通过。

第2章访问控制列表（一）➢TCP和UDP协议TCP/IP协议族的传输层协议主要有两个：TCP（Transmission ，传输控制协议）和UDP（User Datagram Protocol，用户数据抱协议）。

➢TCP协议TCP是面向连接的、可靠的进程到进程通信的协议。

TCP提供全双工服务，即数据可在同一时间双向传输，每一个TCP都有发送缓存和接受缓存，用来临时存储数据。

1.TCP报文段TCP将若干个字节构成一个分组，叫做报文段（Segment）。

TCP报文段封装在IP数据段中。

首部长度为20-60字节，以下是各个字段的含义：➢源端口：它是16位字段，为发送方进程对应的端口号➢目标端口号：它是16位字段，对应的是接收端的进程，接收端收到数据段后，根据这个端口号来确定把数据送给哪个应用程序的进程。

➢序号：当TCP从进程接收数据字节时，就把它们存储在发送缓存中，并对每一个字节进行编号。

编号的特点如下所述：◆编号不一定从0开始，一般会产尘一个随机数作为第1个字节的编号，称为初始序号（ISN），范围是0~232-1。

◆TCP每一个方向的编号是互相独立的。

◆当字节都被编上号后，TCP就给每一个报文段指派一个序号，序号就是该报文段中第1个字节的编号。

当数据到达目的地后，接收端会按照这个序号把数据重新排列，保证数据的正确性。

➢确认号：确认号是对发送端的确认信息，用它来告诉发送端这个序号之前的数据段都已经收到，比如确认号是X，就是表示前X-1个数据段都已经收到。

➢首部长度：用它可以确定首部数据结构的字节长度。

一般情况下TCP首部是20字节，但首部长度最大可以扩展为60字节。

➢保留：这部分保留位作为今后扩展功能用，现在还没有使用到。

➢控制位：这六位有很重要的作用，TCP的连接、传输和断开都是受六个控制为的指挥。

各位含义如下：◆URG：紧急指针有效位。

（指定一个包快速传送（重要数据优先传送））◆ACK：只有当ACK=1时，确认序列号字段才有效。

1、组网图： 1 ．公司企业网通过 Switch 的千兆端口实现各部门之间的互连。

管理部门由 GigabitEthernet1/0/1 端口接入，技术支援部门由GigabitEthernet1/0/2 端口接入，研发部门由 GigabitEthernet1/0/3 端口接入。

2 ．工资查询服务器子网地址 129.110.1.2 ， MAC 为 00e0-fc01-0303 ，技术支援部门 IP 为 10.1.1.0/24 ，研发部门主机 MAC 为 00e0-fc011、组网图：1．公司企业网通过Switch的千兆端口实现各部门之间的互连。

管理部门由GigabitEthernet1/0/1端口接入，技术支援部门由GigabitEthernet1/0/2端口接入，研发部门由GigabitEthernet1/0/3端口接入。

2．工资查询服务器子网地址129.110.1.2，MAC为00e0-fc01-0303，技术支援部门IP为10.1.1.0/24，研发部门主机MAC为00e0-fc01-0101。

2、组网需求：1．要求正确配置ACL，限制研发部门在上班时间8:00至18:00访问工资查询服务器。

2．通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

3、配置步骤：1．定义时间段[Quidway] time-range huawei 8:00 to 18:00 working-day2．进入3000号的高级访问控制列表视图[Quidway] acl number 30003．定义访问规则[Quidway-acl-adv-3000] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei4．进入GigabitEthernet1/0/1接口[Quidway-acl-adv-3000] interface GigabitEthernet1/0/15．在接口上用3000号ACL[Quidway-GigabitEthernet1/0/1] packet-filter inbound ip-group 30006．进入2000号的基本访问控制列表视图[Quidway-GigabitEthernet1/0/1] acl number 20007．定义访问规则[Quidway-acl-basic-2000] rule 1 deny source 10.1.1.1 0 time-range Huawei8．进入GigabitEthernet1/0/2接口[Quidway-acl-basic-2000] interface GigabitEthernet1/0/29．在接口上应用2000号ACL[Quidway-GigabitEthernet1/0/2] packet-filter inbound ip-group 200010．进入4000号的二层访问控制列表视图[Quidway-GigabitEthernet1/0/2] acl number 400011．定义访问规则[Quidway-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff dest 00e0-fc01-0303 ffff-ffff-ffff time-range Huawei12．进入GigabitEthernet1/0/3接口[Quidway-acl-ethernetframe-4000] interface GigabitEthernet1/0/313．在接口上应用4000号ACL[Quidway-GigabitEthernet1/0/3] packet-filter inbound link-group 40004、配置关键点：1．time-name 可以自由定义。

访问控制列表实验报告《访问控制列表实验报告》摘要：本实验旨在通过实际操作，了解和掌握访问控制列表（ACL）的基本概念和应用。

通过对ACL的配置和管理，实现对网络资源的访问控制和权限管理。

本文将详细介绍实验的目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行总结和分析。

1. 实验目的访问控制列表（ACL）是一种用于控制网络资源访问权限的重要机制，通过ACL可以对网络流量进行过滤和控制，保护网络安全。

本实验旨在通过实际操作，掌握ACL的基本概念和配置方法，实现对网络资源的访问控制和权限管理。

2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网，通过路由器进行网络流量的控制和管理。

实验中使用了Cisco路由器，并配置了基本的网络环境和访问控制列表。

3. 实验步骤（1）配置路由器基本网络环境，包括IP地址、子网掩码等；（2）创建访问控制列表，并定义访问控制规则；（3）将访问控制列表应用到路由器的接口上，实现对网络流量的控制和管理；（4）测试ACL的效果，验证ACL对网络流量的过滤和控制。

4. 实验结果通过实验操作，成功创建了访问控制列表，并将其应用到路由器的接口上。

在测试过程中，发现ACL可以有效地对网络流量进行过滤和控制，实现了对特定IP地址或端口的访问限制。

5. 问题与解决在实验过程中，遇到了一些配置和测试中的问题，如ACL规则的定义和应用不当导致网络流量无法正常通过等。

通过查阅资料和与实验指导老师讨论，最终找到了解决方案，并成功完成了实验目标。

6. 总结与展望本次实验通过实际操作，加深了对访问控制列表的理解和应用，掌握了ACL的配置和管理技术。

ACL作为网络安全的重要手段，对于保护网络资源和数据具有重要意义。

未来，可以进一步学习和探索ACL在实际网络环境中的应用，提高网络安全性和管理效率。

通过本次实验，对访问控制列表有了更深入的了解，掌握了其基本配置和应用方法，为今后的网络管理和安全工作奠定了基础。

access-list(访问控制列表)总结ACL的作用ACL可以限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。

例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。

如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B 访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

ACL的配置ACL的配置分为两个步骤：第一步:在全局配置模式下，使用下列命令创建ACL：Router (config)# access-list access-list-number {permit | deny } {test-conditions}其中，access-list-number为ACL的表号。

人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。

第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：Router (config-if)# {protocol} access-group access-list-number {in | out }其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。

ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。

但是，在一个接口的一个方向上，只能有一个ACL控制。

值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。

访问控制列表使用目的：1、限制网络流量、提高网络性能。

例如队列技术，不仅限制了网络流量，而且减少了拥塞2、提供对通信流量的控制手段。

访问控制列表(acl)实验报告访问控制列表（ACL）实验报告引言访问控制列表（ACL）是网络安全中常用的一种技术，它可以帮助网络管理员控制用户或者系统对资源的访问权限。

为了更好地了解ACL的工作原理和应用，我们进行了一系列的实验，并撰写了本报告，以总结实验结果并分享我们的经验。

实验目的本次实验的目的是探索ACL的基本概念、配置方法和应用场景，通过实际操作来加深对ACL的理解，并验证ACL在网络安全中的重要性和作用。

实验内容我们首先学习了ACL的基本概念和分类，包括标准ACL和扩展ACL。

接着，我们使用网络模拟软件搭建了一个简单的网络环境，并在路由器上配置了ACL，限制了不同用户对特定资源的访问权限。

我们还进行了一些模拟攻击和防御的实验，比如尝试绕过ACL进行非法访问，以及通过ACL阻止恶意访问。

实验结果通过实验，我们深入了解了ACL的配置方法和工作原理。

我们发现，ACL可以有效地限制用户或系统对网络资源的访问，提高了网络的安全性。

同时，ACL也能够帮助网络管理员更好地管理网络流量和资源利用，提高网络的性能和效率。

实验结论ACL是网络安全中一种重要的访问控制技术，它能够有效地保护网络资源不受未经授权的访问和攻击。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用，认识到ACL在网络安全中的重要性。

我们将继续学习和探索ACL的更多应用场景，并将ACL技术应用到实际的网络安全实践中，保护网络资源的安全和完整性。

总结通过本次实验，我们对ACL有了更深入的了解，并且掌握了ACL的基本配置方法和应用技巧。

我们相信ACL将在未来的网络安全中发挥越来越重要的作用，我们将继续学习和研究ACL技术，为网络安全做出更大的贡献。

基本访问控制列表编号范围基本访问控制列表（Basic Access Control List，简称BACL）是一种用于网络设备上的访问控制机制，用于限制或允许特定的IP地址或IP 地址范围对网络资源进行访问。

BACL通过在路由器或交换机上配置规则来实现对网络流量的过滤和控制。

在配置BACL时，为每个规则分配一个唯一的编号是很重要的，这样可以方便管理和维护。

下面将详细介绍基本访问控制列表编号范围，并按照分层次的排版方式进行分段分标题输出。

## 1. 基本访问控制列表简介基本访问控制列表是一种在路由器或交换机上实现访问控制的方法。

它可以根据源IP地址、目标IP地址、协议类型等条件来限制或允许特定的网络流量通过设备。

BACL通常应用于出口接口，用于过滤从内部网络到外部网络的流量。

## 2. BACL编号范围在配置BACL时，为每个规则分配一个唯一的编号是很重要的。

编号范围可以根据具体设备和操作系统版本而有所不同，以下是常见的BACL编号范围：### 2.1 Cisco设备对于Cisco设备，BACL的编号范围是1到99和1300到1999。

其中，1到99的编号范围用于标准访问控制列表（Standard ACL），而1300到1999的编号范围用于扩展访问控制列表（ExtendedACL）。

### 2.2 Juniper设备对于Juniper设备，BACL的编号范围是1到99和100至199。

其中，1到99的编号范围用于标准访问控制列表，而100至199的编号范围用于扩展访问控制列表。

### 2.3 Huawei设备对于Huawei设备，BACL的编号范围是2000到2999。

这个范围可以用于配置标准和扩展访问控制列表。

## 3. BACL规则配置在配置BACL时，需要为每个规则分配一个唯一的编号，并根据具体需求设置相应的条件和动作。

以下是一个示例BACL规则配置：```access-list 100 permit ip any host 192.168.1.10access-list 100 deny tcp any any eq 22access-list 100 permit ip any any```在上述示例中，我们使用编号100来标识这个BACL规则。

如何设置网络访问控制列表来限制网络访问网络访问控制列表（ACL）是一种用于限制网络访问的重要工具。

通过设置ACL，我们可以控制谁可以访问网络资源，以及他们可以访问哪些资源。

本文将介绍如何设置网络访问控制列表来限制网络访问。

首先，我们需要了解ACL的基本概念和工作原理。

ACL是一种基于规则的访问控制机制，它通过匹配网络流量的源IP地址、目的IP地址、传输层协议和端口号等信息，来决定是否允许或拒绝该流量通过网络设备。

在设置ACL之前，我们需要明确网络访问的目的。

例如，我们可能想要限制某些用户只能访问特定的网站或特定的网络服务，或者限制某些用户不能访问某些特定的网站或网络服务。

其次，我们需要确定ACL的规则。

ACL规则由许多条件和动作组成。

条件定义了允许或拒绝流量的匹配规则，动作定义了匹配规则后应该采取的操作，如允许或拒绝流量。

一个常见的ACL规则可以是允许特定的IP地址范围访问特定的网站。

例如，我们可以设置一个ACL规则，允许公司内部IP地址范围的用户访问公司的内部网站，但拒绝其他IP地址范围的用户访问该网站。

另一个常见的ACL规则可以是拒绝特定的IP地址范围访问特定的网络服务。

例如，我们可以设置一个ACL规则，拒绝来自某个地区的IP地址范围的用户访问公司的邮件服务器，以增强安全性。

当我们确定了ACL规则后，就可以将其应用到网络设备上。

不同的网络设备有不同的配置方式，但大多数网络设备都提供了图形用户界面（GUI）或命令行界面（CLI）来配置ACL。

在配置ACL时，我们需要注意以下几点。

首先，要确保ACL规则的顺序是正确的。

ACL规则按照从上到下的顺序逐条匹配，一旦匹配成功，后续的规则将不再生效。

因此，我们应该根据规则的优先级和特定需求来确定规则的顺序。

其次，要定期审查和更新ACL规则。

网络环境是不断变化的，新的安全威胁和业务需求可能会导致ACL规则需要进行调整。

因此，我们应该定期审查和更新ACL规则，以确保其有效性和适应性。

实验五、访问控制列表5.1实验目的1．熟悉路由器的包过滤的核心技术：访问控制列表。

2. 掌握访问控制列表的相关知识。

3. 掌握访问控制列表的应用，灵活设计防火墙。

5.2 设备需求(1) 2台路由器。

(2) 1～2台交换机(可选)。

(2) 2～5台PC机。

(3) 2根Console控制台电缆(一端接交换机Console端口，一端接PC机串口)。

(4) 2根V.35电缆。

5.3 实验环境图5-1 访问控制列表配置实验5.4实验内容和步骤1. 基本访问控制列表(序号为2000～2999)基本访问控制列表只使用数据包的源地址来判断数据包，所以它只能以源地址来区分数据包，源相同而目的不同的数据包也只能采取同一种策略。

所以利用标准访问控制列表，我们只能粗略的区别对待网内的用户群，那些主机能访问外部网，那些不能。

在实验环境中，我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络，则只需在路由器上进行如下配置即可。

(1) 配置访问控制列表在路由器RTA上配置：进入超级终端，进入路由器的系统视图。

[RTA] firewall enable[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.0.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.1 24[RTA-Serial5/0] quit[RTA] rip[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.0.0[RTA-rip-1] quit允许IP地址是202.0.0.2的特定主机访问外部网络，而禁止该网段的其他主机访问外部网络。

[RTA] acl number 2001[RTA-acl-basic-2001] rule permit source 202.0.0.2 0.0.0.0[RTA-acl-basic-2001] rule deny source 202.0.0.2 0.0.0.255[RTA-acl-basic-2001] quit[RTA] interface Serial5/0[RTA-Serial5/0] firewall packet-filter 2001 outbound[RTA] display ip routing-tableRouting Tables: PublicDestinations : 8 Routes : 8Destination/Mask Proto Pre Cost NextHop Interface127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.0/24 Direct 0 0 192.0.0.1 S5/0192.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.2/32 Direct 0 0 192.0.0.2 S5/0202.0.0.0/24 Direct 0 0 202.0.0.1 GE0/0202.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0202.0.1.0/24 RIP 100 1 192.0.0.2 S5/0在路由器RTB上配置：[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.1.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.2 24[RTA-Serial5/0] quit[RTA] rip // 启动路由协议[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.1.0[RTA-rip-1] quit(2) 验证访问控制列表的作用在PCA主机(IP地址是：202.0.0.2)的命令窗口，Ping PCD主机(IP地址是：202.0.1.2)：Ping 202.0.1.2应该能Ping 通，而在主机PCB(IP地址是：202.0.0.3，若实验中仅有2台PC机，则需将PCA 主机的IP地址改为202.0.0.3)的命令窗口，Ping PCD主机，则不能Ping 通。

基本访问控制列表编号范围一、什么是基本访问控制列表（ACL）？基本访问控制列表（ACL）是一种用于控制网络中资源访问权限的机制。

通过ACL，网络管理员可以指定允许或禁止特定用户或用户组对资源的访问。

ACL可以应用于路由器、交换机、防火墙等网络设备，以实现对网络流量的精细控制。

二、ACL编号范围ACL的编号范围决定了ACL的优先级顺序，较低编号的ACL将优先匹配和应用于网络流量。

在不同的网络设备上，ACL的编号范围可能会有所不同。

下面是一些常见的ACL编号范围示例：2.1 路由器ACL编号范围在路由器上，ACL通常应用于接口或路由器的特定功能，如路由、NAT等。

对于路由器ACL，一般有两种编号范围：1.标准ACL编号范围：1-99或1300-1999。

标准ACL只能根据源IP地址进行过滤，不能根据目的IP地址、端口号等进行过滤。

2.扩展ACL编号范围：100-199或2000-2699。

扩展ACL可以根据源IP地址、目的IP地址、端口号等多个条件进行过滤。

2.2 交换机ACL编号范围在交换机上，ACL通常应用于虚拟局域网（VLAN）接口或交换机的特定功能，如虚拟局域网间路由（VLAN Routing）、访问控制等。

对于交换机ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

2.3 防火墙ACL编号范围在防火墙上，ACL通常应用于过滤网络流量，以保护网络免受未经授权的访问。

对于防火墙ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

三、如何配置ACL配置ACL的具体步骤和语法可能因不同的网络设备而有所不同。