标准IP访问控制列表配置

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

ROUTER0配置：Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int f0/1Router(config-if)#ip address 192.168.20.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s0/0/0Router(config-if)#ip address 192.168.30.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#clock rate 64000Router(config-if)#exitRouter(config)#router ripRouter(config-router)#version 2Router(config-router)#network 192.168.10.0Router(config-router)#network 192.168.20.0Router(config-router)#network 192.168.30.0Router(config-router)#no auto-summaryRouter(config-router)#ROUTER1配置：Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip address 192.168.40.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s0/0/0Router(config-if)#ip address 192.168.30.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#route ripRouter(config-router)#version 2Router(config-router)#network 192.168.30.0Router(config-router)#network 192.168.40.0Router(config-router)#no auto-summaryRouter(config-router)#exitRouter(config)#ip access-list standard aa //关于配置标准IP 访问控制列表，采用命名的标准ACL（命名为aa）Router(config-std-nacl)#permit 192.168.10.0 0.0.0.255 //允许来自198.162.10.0 网段的流量通过Router(config-std-nacl)#deny 192.168.20.0 0.0.0.255 //拒绝来自198.162.20.0 网段的流量通过Router(config-std-nacl)#exitRouter(config)#int f0/0Router(config-if)#ip access-group aa out //在接口下访问控制列表出栈流量调用interface fa 0/0Router(config-if)#end测试：。

PT5.3 ACL综合实验TFTP ping标准访问控制列表：只允许网段1和网段2之间互相访问扩展访问控制列表：只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务，拒绝访问该服务器上的其他服务；只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务，拒绝访问该服务器上的其他服务。

做访问控制列表实验之前先在各个路由器上配置了（动态/静态）路由协议，使整个网络互通。

标准访问控制列表配置：只允许网段1和网段2之间互相访问R1配置：R1#conf tR1(config)#access-list 1 deny 10.10.1.0 0.0.0.255R1(config)#access-list 1 deny 10.10.2.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#int f0/0R1(config-if)#ip access-group 1 out测试省略扩展访问控制列表配置：只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务，拒绝访问该服务器上的其他服务；只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务，拒绝访问该服务器上的其他服务。

首先删除标准访问控制列表：R1(config)#int f0/0R1(config-if)#no ip access-group 1 outR1(config-if)#exitR1(config)#no access-list 1R1配置：R1#conf tR1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq 80R1(config)#access-list 101 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.1R1(config)#access-list 101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echoR1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo-replyR1(config)#int f0/0R1(config-if)#ip access-group 101 out测试：PC1:PC1#ping 172.16.1.1 通PC1#ping 172.16.5.1 不通PC2：PC2#ping 172.16.1.1 不通PC2#ping 172.16.5.1 通。

VPN中IP地址的防火墙配置和访问控制列表在VPN中，IP地址的防火墙配置和访问控制列表（ACL）起着至关重要的作用。

通过正确配置防火墙和ACL，可以保护VPN网络免受潜在的安全威胁。

本文将介绍如何正确配置VPN中的IP地址防火墙和ACL，以提高网络安全性。

一、什么是IP地址防火墙？IP地址防火墙是用于控制网络流量的一种安全措施。

主要通过规则和策略来限制或允许特定的IP地址、协议和端口访问网络资源。

IP地址防火墙可以在VPN服务器、VPN客户端或VPN路由器上进行配置。

二、防火墙和ACL的重要性1. 保护网络安全：通过防火墙和ACL，可以限制恶意用户或攻击者对网络资源的访问，提高网络的安全性。

2. 简化网络管理：通过合理配置防火墙和ACL，可以将网络流量进行分组和管理，简化网络操作和维护。

3. 提高网络性能：通过限制无效或不必要的网络流量，可以提高网络的性能和响应速度。

三、配置IP地址防火墙的步骤1. 确定网络资源和访问需求：在配置IP地址防火墙之前，首先需要明确网络中存在的资源以及对这些资源的访问需求。

2. 列出规则和策略：根据网络资源和访问需求，列出访问规则和策略，包括允许或阻止特定IP地址、协议和端口的访问。

3. 配置防火墙规则：在VPN服务器、VPN客户端或VPN路由器上，根据列出的规则和策略，配置相应的防火墙规则。

4. 测试和优化：配置完成后，进行测试和优化，确保防火墙规则能够正确地限制或允许特定的网络流量。

四、配置访问控制列表（ACL）的步骤1. 确定访问控制需求：在配置ACL之前，首先需要确定对网络资源的访问控制需求，包括允许或阻止特定IP地址、协议和端口的访问。

2. 列出访问规则：根据访问控制需求，列出ACL中需要包含的访问规则。

3. 配置ACL：在VPN服务器、VPN客户端或VPN路由器上，根据列出的访问规则，配置相应的ACL。

4. 测试和优化：配置完成后，进行测试和优化，确保ACL能够正确地限制或允许特定的网络流量。

ip标准访问控制列表的规则序号范围IP标准访问控制列表（StandardAccessControlList，简称SACL）是一种按照特定格式编制的访问控制规则，可以实施不同程度的访问控制方案。

SACL的核心在于按照规则序号进行序列化编码，从而将访问控制规则的设置一步步的添加、修改、删除进行有序的操作。

规则序号是访问控制规则的主要分类标准。

IP标准访问控制列表规则序号范围是0-99，每条规则最多可以有99条。

每条规则序号代表一个确切的意义，每条规则序号的设置及其排列顺序决定了访问控制规则的最终形成，是进行访问控制的核心依据。

在IP标准访问控制列表规则数量上，SACL一般可以设置接近100条规则，但是有时候当用户尝试设置规则超过99条时，系统会出现错误。

这是因为SACL规则序号范围是0-99，用户最多只能设置99条规则，而超过99条则会超出序号范围，导致系统报错。

IP标准访问控制列表规则序号设置范围一定要严格遵守，以避免不必要的错误发生，特别是当用户尝试设置规则超过99条时，要特别注意不要超出序号范围，以免出现意料之外的系统错误。

同时，用户在设置SACL时，应当特别注意规则序号的顺序，以免出现访问控制规则实现时规则未正确生效的情况。

SACL的规则及其序号设置是路由网络中最重要的一项功能，它控制了数据包的流向，能够有效的实施网络的安全管理，有效的提升网络的安全性。

因此，设置SACL时，一定要严格按照规则序号范围，其范围为0-99，每条规则最多可以设置99条，使用者一定要注意规则序号的设置顺序，以免出现访问控制规则未正确生效等情况。

同时，当用户尝试设置规则超过99条时，一定要注意不要超出序号范围，以免出现意料之外的系统错误。

ACL案例及说明技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

该网络的拓朴如下图所示：自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

CASA CMTS标准配置说明!ip access-list 1 #访问控制列表permit all 10.45.0.0 255.255.0.0 any any any #筛选感兴趣的网段deny all any any any any!ip access-list 2permit all 10.85.0.0 255.255.0.0 any any anydeny all any any any any!!!route-map stb_use permit 10 #策略路由match ip address 1 #引用ACLset ip next-hop 10.25.6.1 #指定下一跳!!route-map stb_use permit 20match ip address 2set ip next-hop 10.202.5.1!!route-map stb_yidong permit 10match ip address 1set ip next-hop 10.25.6.1!interface eth 0ip address 192.168.2.100 255.255.255.0!!aaa authentication login local!interface ip-bundle 1 #用于转发DHCPip address 10.65.0.1 255.255.240.0ip address 10.45.16.1 255.255.240.0 secondaryip address 10.85.0.1 255.255.240.0 secondarycable helper-address 10.25.6.2ip policy route-map stb_useinterface ip-bundle 1.1ip address 172.1.0.1 255.255.248.0ip address 10.45.0.1 255.255.248.0 secondaryip address 10.189.0.1 255.255.248.0 secondary cable helper-address 10.25.6.2ip policy route-map stb_yidong!interface vlan 256gige 1!interface gige 0ip address 10.202.5.2 255.255.255.252no shutdowninterface gige 1ip address 10.25.6.122 255.255.255.0no shutdowninterface gige 2ip address 172.22.0.4 255.255.255.248no shutdowninterface gige 3shutdown!!!!!!!!!!!!!multicast!!!cable sec tftp-options net-addrcable sec encrypt-alg-priority des56CbcMode des40CbcMode aes128CbcMode cable sec cert-revocation-list urlcable sec ocsp protocol-url!interface qam 0/0annex Ainterleave 12power 500channel 0 frequency 530000000no channel 0 shutdownchannel 1 frequency 538000000no channel 1 shutdownno shutdowninterface qam 0/1annex Ainterleave 12power 500channel 0 frequency 562000000no channel 0 shutdownchannel 1 frequency 570000000no channel 1 shutdownno shutdowninterface qam 0/2annex Ainterleave 12power 500channel 0 frequency 578000000no channel 0 shutdownchannel 1 frequency 586000000no channel 1 shutdownno shutdowninterface qam 0/3annex Ainterleave 12power 500channel 0 frequency 546000000no channel 0 shutdownchannel 1 frequency 554000000no channel 1 shutdownno shutdown!!route net 10.25.6.2 32 gw 10.25.6.1!!!!!!!!no ntp scheck!upstream map size 5interface docsis-mac 1no shutdownno early-authentication-encryptionno multicast-dsid-forwardno tftp-proxyip bundle 1downstream 1 interface qam 0/0/0 downstream 2 interface qam 0/0/1 downstream 3 interface qam 0/1/0 downstream 4 interface qam 0/1/1 downstream 5 interface qam 0/2/0 downstream 6 interface qam 0/2/1 downstream 7 interface qam 0/3/0 downstream 8 interface qam 0/3/1 upstream 1 interface upstream 1/0.0/0 upstream 2 interface upstream 1/0.1/0 upstream 3 interface upstream 1/1.0/0 upstream 4 interface upstream 1/1.1/0 upstream 5 interface upstream 1/2.0/0 upstream 6 interface upstream 1/2.1/0 upstream 7 interface upstream 1/3.0/0 upstream 8 interface upstream 1/3.1/0 !!! packetcable global! packetcable rks!!!! dsg commands!dsg server-redundancy enable!!! load balance commands!load-balance enable常用配置命令enablecase #进入特权模式密码configinterface gige 0no shutdownip add 171.1.1.1endroute net 0.0.0.0 0 gw +下一跳地址#默认路由----------------------------interface qam 0/0no shutdownno channel 0 shutdown #激活频点annex A #使用频率标准（A-欧标，B-美标）channel 0 frequency 547000000 #设置下行0信道频率modulation 256qam #选择下行调制方式power 450 #下行发射电平，范围<450-620>/*一个下行物理端口中有一个频点，最高为62dBmV，一个下行物理端口中有两个频点，最高为61dBmV，一个下行物理端口中有四个频点，最高为60dBmV。

ACL实训一绑定端口：R0:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/1Router(config-if)#ip ad 172.16.2.1 255.255.255.0Router(config-if)#no shRouter(config)#int f0/0Router(config-if)#ip ad 200.10.10.1 255.255.255.0Router(config-if)#no shR1:Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int f0/0Router(config-if)#ip ad 200.10.10.2 255.255.255.0 Router(config-if)#no shRouter(config-if)#ex单臂路由：Router(config)#int f0/1.1Router(config-subif)#en do 2Router(config-subif)#ip ad 192.168.2.1 255.255.255.0 Router(config-subif)#no shRouter(config-subif)#exRouter(config)#int f0/1.2Router(config-subif)#en do 3Router(config-subif)#ip ad 192.168.3.1 255.255.255.0 Router(config-subif)#no shRouter(config-subif)#exRouter(config)#int f0/1.3Router(config-subif)#en do 4Router(config-subif)#ip ad 192.168.4.1 255.255.255.0 Router(config-subif)#no shRouter(config)#int f0/1Router(config-if)#no sh静态路由：测试：Router#sh ip roRoute1:Router(config)#ip route 172.16.2.0 255.255.255.0 200.10.10.1Route0:Router(config)#ip route 192.168.2.0 255.255.255.0 200.10.10.2 Router(config)#ip route 192.168.3.0 255.255.255.0 200.10.10.2 Router(config)#ip route 192.168.4.0 255.255.255.0 200.10.10.2ACL部分：Route0:Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255 Router(config)#access-list 1 permit 192.168.3.0 0.0.0.255 Router(config)#access-list 1 permit 192.168.4.0 0.0.0.255Router(config)#int f0/1Router(config-if)#ip access-group 1 outRouter(config-if)#exRoute1:Router(config)#access-list 100 permit ip 192.168.3.0 0.0.0.255 host 172.16.2.101 Router(config)#access-list 100 deny ip 192.168.3.0 0.0.0.255 host 172.16.2.102 Router(config)#access-list 100 permit ip 192.168.4.0 0.0.0.255 host 172.16.2.102 Router(config)#access-list 100 deny ip 192.168.4.0 0.0.0.255 host 172.16.2.101Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 anyRouter(config)#conf tRouter(config)#int f0/0Router(config-if)#ip access-group 100 out。

如何设置IP地址的访问限制和权限控制的方法在当今信息技术高速发展的时代，网络安全成为了一个重要的话题。

为了保护服务器和网络资源的安全，限制和控制IP地址的访问权限变得越来越重要。

本文将介绍如何设置IP地址的访问限制和权限控制的方法，以帮助您建立一个更安全的网络环境。

一、设置IP地址的访问限制1. 确定所需限制的IP地址范围首先，您需要明确需要限制的IP地址范围。

通过分析和了解您的网络环境，确定需要限制访问的IP地址范围，可以是一个特定的IP地址，也可以是一个IP地址段。

2. 使用防火墙设置规则防火墙是保护网络安全的重要组成部分，它可以监控和控制网络流量。

通过配置防火墙规则，您可以实现对指定IP地址的访问限制。

对于基于Linux系统的服务器，您可以使用iptables命令来设置防火墙规则。

例如，如果您想要限制IP地址为192.168.1.100的主机对服务器的访问，可以使用以下命令：```iptables -A INPUT -s 192.168.1.100 -j DROP```这样就禁止了来自该IP地址的访问。

3. 使用访问控制列表（ACL）访问控制列表（ACL）是一种用于控制网络流量的机制。

通过配置ACL规则，您可以根据源IP地址或目标IP地址来限制网络访问。

对于路由器或交换机等网络设备，您可以使用ACL来设置IP地址的访问限制。

例如，如果您使用Cisco设备，可以使用以下命令配置ACL规则：```access-list 1 deny host 192.168.1.100```这样就拒绝了来自IP地址为192.168.1.100的主机的访问。

二、设置IP地址的权限控制1. 新建用户账户权限控制通常需要通过用户身份来实现。

您可以根据需要，为不同的用户创建不同的账户，并分配相应的权限。

这样，您可以根据用户的身份来控制其对IP地址的访问权限。

2. 配置访问权限一旦创建了用户账户，您可以通过配置访问权限来实现对IP地址的权限控制。

Tutorial 07: 标准IP访问控制列表ACL【实验名称】标准IP访问控制列表ACL【实验目的与要求】目的：掌握路由器上编号的标准IP访问列表规则及配置。

要求：用交换机模拟公司的经理部，财务部门和销售部门，他们分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

PCA代表经理部的主机，PCB代表销售部门的主机、PCC代表财务部门的主机。

【实现功能】实现网段间互相访问的安全控制。

【实验设备及台套数】每组试验需要以下器材：PC机六台、锐捷路由器(R1762)2台、V35线缆1条、双绞线若干【实验原理】IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1～99、1300～1999，扩展IP访问列表编号范围是100～199、2000～2699.【实验拓扑】【实验步骤】一、路由器的基本配置1、路由器A的基本配置RouterA(config)#interface fastEthernet 1/0RouterA(config-if)#ip address 172.16.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config)#interface fastEthernet 1/1RouterA(config-if)#ip address 172.16.2.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config)#interface serial 1/2RouterA(config-if)#ip address 172.16.3.1 255.255.255.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdown验证测试：RouterA#show ip interface briefInterface IP-Address(Pri) OK? Status serial 1/2 172.16.3.1/24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/0 172.16.1.1/24 YES UP FastEthernet 1/1 172.16.2.1/24 YES UPNull 0 no address YES UP2、路由器B的基本配置RouterB(config)#interface fastEthernet 1/0RouterB(config-if)#ip address 172.16.4.1 255.255.255.0RouterB(config-if)#no shutdownRouterB(config)#interface serial 1/2RouterB(config-if)#ip address 172.16.3.2 255.255.255.0RouterB(config-if)#no shutdown验证测试：RouterB#show ip interface briefInterface IP-Address(Pri) OK? Status serial 1/2 172.16.3.2/24 YES UPserial 1/3 no address YES DOWN FastEthernet 1/0 172.16.4.1/24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP二、配置静态路由RouterA(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2RouterB(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1RouterB(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1验证测试：RouterA#show ip routeCodes: C – connected, S – static, R – RIPO – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2* - candidate defaultGateway of last resort is no setC 172.16.1.0/24 is directly connected, FastEthernet 1/0C 172.16.1.1/32 is local host.C 172.16.2.0/24 is directly connected, FastEthernet 1/1C 172.16.2.1/32 is local host.C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.1/32 is local host.S 172.16.4.0/24 is directly connected, serial 1/2RouterB#show ip routeCodes: C – connected, S – static, R – RIPO – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2E1 – OSPF external type 1, E2 – OSPF external type 2* - candidate defaultGateway of last resort is no setS 172.16.1.0/24 is directly connected, serial 1/2S 172.16.2.0/24 is directly connected, serial 1/2C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.2/32 is local host.C 172.16.4.0/24 is directly connected, FastEthernet 1/0C 172.16.4.1/32 is local host.三、配置标准IP访问控制列表RouterB(config)#access-list 1 deny 172.16.2.0 0.0.0.255!拒绝来自172.16.2.0网段的流量通过RouterB(config)#access-list 1 permit 172.16.1.0 0.0.0.255!允许来自172.16.1.0网段的流量通过验证测试：RouterB#show access-lists 1Standard IP access-list 1 includes 2 items：deny 172.16.2.0，wildcard bits 0.0.0.255permit 172.16.1.0，wildcard bits 0.0.0.255四、把访问控制列表在接口下应用RouterB(config)#interface f1/0RouterB(config-if)#ip access-group 1 out !在接口下访问控制列表出栈流量调用验证测试：RouterB#show ip interface fastEthernet 1/0FastEthernet 1/0IP interface state is：UPIP interface type is：BROADCASTIP interface MTU is：1500IP address is:172.16.4.1/24（primary）IP address negotiate is ：OFFForward direct-boardcast is：ONICMP mask reply is：ONSend ICMP redirect is：ONSend ICMP unreachabled is：ONDHCP relay is：OFFFast switch is：ONRoute horizontal-split is：ONHelpaddress is：0.0.0.0Proxy ARP is：ONOutgoing access list is 1. ！查看访问列表在接口上的应用Inbound access list not set。

ACL 是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。

ACL 是一个有序的语句集，每一条语句对应一条特定的规则(rule)。

每条rule包括了过滤信息及匹配此rule时应采取的动作。

Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。

根据不同的标准，ACL可以有如下分类：根据过滤信息：ip access-list （三层以上信息），mac access-list （二层信息），mac-ip access-list （二层以上信息）。

根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。

根据命名方式：数字(numbered)和命名(named)要求：PC1(192.168.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2)，PC2(192.168.10.2)可以访问。

PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。

switch#confSwitch(config)# ip access-list standard pc1toserver1# deny host-source 192.168.10.1#exit#int e0/0/23#ip access-group pc1toserver1 outSwitch(config)# ip access-list standard pc1toserver2# deny host-source 192.168.10.1#exit#int e0/0/24#ip access-group pc1toserver2 out。

华为acl访问控制列表实例ACL是路由器和交换机接口的指令列表，用来控制端口进出的数据包，告诉路由器哪些数据包可以接收、哪些数据包需要拒绝，保证网络资源不被非法使用和访问。

下面是店铺给大家整理的一些有关华为acl访问控制列表配置，希望对大家有帮助!华为acl访问控制列表配置访问控制列表：ACL:(accesscontrollist)适用所有的路由协议：IP,IPX,AppleTalk控制列表分为两种类型：1.标准访问控制列表：检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表：对数据包的源地址与目标地址进行检查。

访问控制列表最常见的用途是作为数据包的过滤器。

其他用途;可指定某种类型的数据包的优先级，以对某些数据包优先处理识别触发按需拨号路由(DDR)的相关通信量路由映射的基本组成部分ACL能够用来：提供网络访问的基本安全手段访问控制列表可用于Qos(QualityofService,服务质量)对数据流量进行控制。

可指定某种类型的数据包的优先级，以对某些数据包优先处理起到了限制网络流量，减少网络拥塞的作用提供对通信流量的控制手段访问控制列表对本身产生的的数据包不起作用，如一些路由更新消息路由器对访问控制列表的处理过程：(1)如果接口上没有ACL，就对这个数据包继续进行常规处理(2)如果对接口应用了访问控制列表，与该接口相关的一系列访问控制列表语句组合将会检测它：*若第一条不匹配，则依次往下进行判断，直到有一条语句匹配，则不再继续判断。

路由器将决定该数据包允许通过或拒绝通过*若最后没有任一语句匹配，则路由器根据默认处理方式丢弃该数据包。

*基于ACL的测试条件，数据包要么被允许，要么被拒绝。

(3)访问控制列表的出与入，使用命令ipaccess-group，可以把访问控制列表应用到某一个接口上。

in或out指明访问控制列表是对近来的，还是对出去的数据包进行控制【在接口的一个方向上，只能应用1个access-list】路由器对进入的数据包先检查入访问控制列表，对允许传输的数据包才查询路由表而对于外出的数据包先检查路由表，确定目标接口后才检查看出访问控制列表====================================== ================================应该尽量把放问控制列表应用到入站接口，因为它比应用到出站接口的效率更高：将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它(4)访问控制列表中的deny和permit全局access-list命令的通用形式：Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这里的语句通过访问列表表号来识别访问控制列表。

13.标准访问列表的实现一.实训目的1.理解标准访问控制列表的概念和工作原理。

2.掌握标准访问控制列表的配置方法。

3.掌握对路由器的管理位置加以限制的方法。

二.实训器材及环境1.安装有packet tracer5.0模拟软件的计算机。

2.搭建实验环境如下:三.实训理论基础1.访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容。

访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。

数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。

访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。

2.访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。

1d标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展m访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。

3. ACL的相关特性每一个接口可以在进入（1班。

3（1）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。

ACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许（permi伽允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的］ACL起作用。

在路由选择决定以后，应用在接口离开方向的］ACL起作用。

每个ACL的结尾有一个隐含的拒绝的所有数据包（deny all的语句。

32位的1时地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求中地址的对应位必须匹配，通配符掩码为1的位所对应的I P地址位不必匹配。

1.1附件1：ace与GBT19011-2008标准主要差异性分析通配符掩码掩码的两种特殊形式：一个是host表示一种精确匹配，是通配符掩码掩码0.0.0.0的简写形式；一个是any表示全部不进行匹配，是通配符掩码掩码255.255.255.255的简写形式。

acl的功能：1.访问控制2. 匹配：a.匹配数据 b.匹配路由。

配置：1.标准访问控制列表：①access-list（1-99）基于ip标准，只能控制ip包。

（1300-1999）不常用。

②编号的没有办法针对某一行单独删除，也不可以进行插入，支持行号重排；命名的都可以。

③只能匹配源ip。

④当匹配路由时，只能控制网络号，不能控制掩码（掩码比须一致）。

a. 编号的:R2(config)#access-list [list number][permit | deny][source address][wildcard-mask][log]例如: R2(config)#access-list 10 permit 12.1.1.1 0.0.0.0R2(config)#access-list 10 permit 1.1.1.0 0.0.0.255b. 命名的：R2(config)#ip access-list standard[（1-99,1300-1999）| （wolf ，wolf123 ，e@#￥，......)]例如：R2(config)#（行号）ip access-list standardwolf （行号可选，一般在需要插入的时候使用）R2(config-std-nacl)#permit 4.4.4.40.0.0.255 (可进到该表下，不必再像编号那样每次都accless）R2(config-std-nacl)#permit 5.55.5.0 0.0.255.254R2(config-std-nacl)#remark ce shi (描述:针对上面一行）R2(config-std-nacl)#deny host 192.168.0.12.扩展访问控制列表：a.编号的：R2(config)#access-list [list num.] [per | deny][protocol | protocol keyword] [source address][source-wildcard] [source port] [dest address] [dest-wildcard] [dest port] [log] [options]①access-list（100-199）不仅基于ip，还可以支持tcp、udp、icmp、等协议。