ACL访问控制列表

ACL访问控制列表

Acl通常有两种，一种为标准的，一种有扩展的。

H3C标准ACL的序号为2000-2999

扩展的ACL序号为3000-3999

[RT1]firewall enable --开启防火墙功能

[RT1]acl num 2000 --写标准的ACL。（2000-2999）

[RT1-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 --匹配源地址

[RT1-GigabitEthernet0/0/0]firewall packet-filter 2000 inbound --在入接口调用

[RT2]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 --加个默认路由，保证包能回来。

接下来我们更改ACL的写法，达到同样的目的！

首先将firewall默认的最后一条语句改为deny.

[RT1]firewall default deny

[RT1]acl num 2000

[RT1-acl-basic-2000]rule permit source 2.2.2.10 0

[RT1-acl-basic-2000]int g0/0/2

[RT1-GigabitEthernet0/0/2]firewall packet-filter 2000 outbound

因为acl的匹配原则为从上到下依次匹配，匹配到了就执行选项，deny或者是permit。在ACL，最后有一条隐含的语句。默认是permit any。可以更改！

下面写ACL，要求达到PC2可以Ping通R2。但是R2不能Ping通PC2。这个就需要运行扩展的ACL。

[RT1]acl number 3000

[RT1-acl-adv-3000]rule 0 deny icmp icmp-type echo source 12.1.1.2 0 destination 2.2.2.10 0 [RT1-acl-adv-3000]int g0/0/2

[RT1-GigabitEthernet0/0/2]firewall packet-filter 3000 inbound

验证一下实验结果;

要求，R1可以telnet到R3上，但是R1不能够Ping通R3。

R2：

[RT2]firewall enable

[RT2]acl num 3000

[RT2-acl-adv-3000]rule 0 permit tcp source 12.1.1.1 0 destination 23.2.2.3 0 destination-port eq 23

[RT2-acl-adv-3000]rule 5 deny icmp source 12.1.1.1 0 destination 23.2.2.3 0

[RT2-acl-adv-3000]int g0/0/1

[RT2-GigabitEthernet0/0/1]firewall packet-filter 3000 outbound

接下来在R3上开启telnet服务

[RT3]telnet server enable

% Start Telnet server

[RT3]user-interface vty 0 3

[RT3-ui-vty0-3]authentication-mode none

[RT3-ui-vty0-3]quit

在R1上查看结果：

telnet 23.2.2.3

Trying 23.2.2.3 ...

Press CTRL+K to abort

Connected to 23.2.2.3 ...

-----------成功！

ping 23.2.2.3

PING 23.2.2.3: 56 data bytes, press CTRL_C to break

Request time out

Request time out

Request time out

Request time out

Request time out

--- 23.2.2.3 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

------达到目的！

总结：

扩展的ACL可以比标准的更精确的控制，标准的ACL仅仅是控制了源。但是扩展的ACL 是控制了源，目标，控制协议等等。达到更加精确地目的！要熟练的掌握ACL的使用，像刚刚使用扩展ACL的实验，我们可以在R1的两个接口四个方向都可以控制来达到同样的目的。

使用ACL要注意，acl是属于三层的一种控制协议。每个接口的每个方向只可以创建一个ACL。如果创建了多个，那么最后的一个会将前面所写的ACL进行覆盖。

而且，路由器不过滤自身产生的流量。而且，ACL越靠近源地址越容易控制！

南昌大学实验报告

姓名：孟红波学号：6100410179 专业班级：计算机（卓越）101

实验4：访问控制列表ACL配置实验

实验目的

对路由器的访问控制列表ACL进行配置。

实验设备

路由器2台，PC机３台，串行线1对，交叉双绞线３根；

实验内容

①通过预习熟悉IP地址、MAC地址和常用端口号码的含义。

②用串行线通过Serial 口将2台路由器直接连接起来后，给每台PC机所连FastEthernet口分配一个IP地址，对路由器作配置后，查验访问控制表内容，并通过1台PC机PING另1台PC机进行验证。

（3）实验报告

①简要叙述组成访问控制列表ACL形成的主要方法。

②简单叙述如何对常见病毒端口进行防护以提高网络安全性。

③ 实验中遇到了什么问题，如何解决的，以及本人的收获与体会。

实验原理

（1）网络拓扑图

（2）配置命令说明

(config)#ip access-list standard name/*创建标准ACL

(config-std-nacl)#deny|permit source-ip-add wildcard|host source-ip-add|any [time-range time-range-name] /*拒绝|允许源IP地址

(config)#ip access-list extended name/*创建扩展ACL

(config-ext-nacl)#deny|permit protocol source-ip-add wildcard|host source-ip-add |any destination destination-ip-add wildcard|host destination-ip-add |any eq tcp|udp port-number [time-range time-