实验 十 标准IP访问控制列表配置

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

网络配置教程（22）——锐捷、华为IP标准访问控制列表实验网络配置教程（22）——锐捷、华为IP标准访问控制列表实验【实现目的】掌握路由器上标号的标准IP访问列表规则及配置。

【实训背景描述】你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问；PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机【实训设备】R1700（2台），PC（3台）、直连线（3条）、V.35线（1条）【实训内容】（1）按照拓扑进行网络连接（2）配置路由器接口IP地址（3）配置路由器静态路由（4）配置编号的IP标准访问控制列表（5）将访问列表应用到接口【实训拓扑图】【实训步骤】（1）配置路由器R1、R2接口IP地址；记得给R1路由器的S1/2接口配置时钟。

（2）配置R1、R2静态路由；R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1（3）R1配置编号的IP标准访问控制列表R1(config)#access-list 1 deny 172.16.2.0 .255 ！拒绝来自172.16.2.0网段的流量通过R1(config)#access-list 1 permit 172.16.1.0 .255 ！允许来自172.16.1.0网段的流量通过验证测试R1#show access-lists 1Standard IP access list 11 deny 172.16.2.0 .255 (0 matches)1 permit 172.16.1.0 .255 (0 matches)（3）将访问列表应用到接口R1(config)#interface Serial 1/2R1(config-if)#ip access-group 1 out【实训测试】（1）用销售部主机172.16.2.8 ping财务部主机172.16.4.2，不能ping通；（2）用经理部主机172.16.1.2 ping财务部主机172.16.4.2，能ping通；（3）显示IP 列表的配置要监控访问列表，请在特权用户模式执行以下命令：Ruijie# show access-lists [ id | name ] //此命令可以查看IP 访问列表【实训问题】（1）访问控制列表能否应用到其他接口，结果会怎样？（2）为什么标准访问控制列表要尽量靠近目的地址的接口？（3）访问控制列表应用到接口时，in和out方向有什么不同？——————————————————华为配置：IP地址、路由配置步骤省略；转帖请注明出处：/5ijsj/blog/item/51f7c7ce2e433433b600c8dd.html Packet Tracer 5.2实验文件下载[Router2]acl number 2000[Router2-acl-basic-2000]rule 0 deny source 172.16.2.0 .255[Router2-acl-basic-2000]rule 1 permit source 172.16.1.0 .255 [Router2-acl-basic-2000]quit[Router2]interface fa0/0[Router2- fa0/0]firewall packet-filter 2000 outbound。

实验十二、十三IP访问控制列表（ACL）实验1 标准IP访问列表[实验目的]掌握标准IP访问列表规则及配置。

[背景描述]你是一个公司的网络管理员，公司一经理部门用户PC1和一销售部门用户PC2在同一网段内，而财务部门PC3在另一分公司且属另一网段，三部门以下图方式进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部门用户PC1可以对财务部门PC3进行访问。

[实现功能]实现网段间相互访问的安全控制。

[实验拓扑][实验设备]R1762路由器（2台），交换机或集线器（1台）。

[实验步骤]第一步：基本配置Router1配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/2Router(config-if)#ip add 172.16.0.1 255.255.0.0Router(config-if)#no shutRouter(config-if)#int f1/0Router(config-if)#ip add 192.168.0.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2Router2配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/3Router(config-if)#ip add 172.16.0.2 255.255.0.0Router(config-if)#no shutRouter(config-if)#clock rate 64000Router(config-if)#int f1/0Router(config-if)#ip add 192.168.1.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/3各PC机IP可按上图示设置为：PC1：IP 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.254；PC2：IP 192.168.0.2 netmask 255.255.255.0 gateway 192.168.0.254；PC3：IP 192.168.1.1 netmask 255.255.255.0 gateway 192.168.1.254。

【实验拓扑】【注意事项】1．注意在访问控制列表中的网络掩码是反掩码。

2．标准访问列表要应用在尽量靠近目标的地址的接口。

3．标准ACL的编号范围是1-99、1300-1999，扩展访问列表的编号范围是100-199、2000-2999。

4. IP ACL基于接口应用时，分为入栈和出栈两个方向，命令分别为in和out。

【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图，各PC机使用cloud进行模拟。

（2）配置路由器模块，右键点击路由器RouteA和路由器RouteB图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”，如下图所示：（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。

（4）按照网络拓扑图连接设备。

（步骤（1）点击“开始”按钮，运行所有机器。

（2）右键点击路由器RouteA图标，选中“console”，等待路由器RouteA初始化后，再进行配置，具体配置如下：Route>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteARouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0RouteA (config-if) #no shutdownRouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0RouteA (config-if)#clock rate 64000RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2RouteA(config)#exit步骤4.（1）查看并记录路由器RouteA接口状态，如下图所示：RouteA#show ip interface brief（2）查看并记录路由器RouteA路由信息，如下图所示：RouteA#show ip route（1）右键点击路由器RouteB图标，选中“console”，等待路由器RouteB初始化后，再进行配置，具体配置如下：Route>enRoute#conf tRoute(config)#hostname RouteBRouteB(config)#interface fastethernet 1/0RouteB(config-if) #no shutdownRouteB(config-if)#ip address 192.168.2.2 255.255.255.0RouteB(config)#int s0/0RouteB(config-if)#no shutdownRouteB(config-if)#ip add 10.1.2.2 255.255.255.0RouteB(config-if)#exitRouteB(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1 //配置静态路由RouteB(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.1 //配置静态路由RouteB(config)#exit步骤6.（1）查看并记录路由器RouteB接口状态，如下图所示：RouteB#show ip interface brief（2）查看并记录路由器RouteB路由信息，如下图所示：RouteB#show ip route（1）通过VPCS虚拟机，按下面表格为每个主机配置IP地址，具体配置命令如下图，并测试（1）在Route A上配置标准ACL，并将ACL应用到Route A接口s0/0出栈方向，查看和记录访问列表的详细信息，如下图所示：RouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteA (config)#access-list 1 deny 192.168.1.0 0.0.0.255RouteA (config)#access-list 1 permit 192.168.3.0 0.0.0.255RouteA (config)# int s0/0RouteA (config-if)#ip access-group 1 outRouteA (config-if)#endRouteA #show access-lists 1（2）通过VPCS虚拟机，测试三台主机的连通性，测试得知PC1和PC3能相互ping通，PC1和PC2不能相互ping通，PC2和PC3能相互ping通，如下图所示：（1）把Route A上的s0/0接口下的ACL去掉，如下所示：RouteA (config)# int s0/0RouteA (config-if)#no ip access-group 1 out（2）通过VPCS虚拟机，再次测试三台主机的连通性，测试得知他们之间能够相互访问，如下图所示：步骤10.（1）在Route B上配置标准ACL，并将ACL应用到Route B接口s0/0入栈方向，查看和记录访问列表的详细信息，如下图所示：RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255RouteB(config)#access-list 1 permit 192.168.3.0 0.0.0.255RouteB(config)#int s0/0RouteB(config-if)#ip access-group 1 inRouteB(config-if)#endRouteB#show access-lists 1（2）通过VPCS虚拟机，测试三台主机的连通性，测试得知PC1和PC3能相互ping通，PC1和PC2不能相互ping通，PC2和PC3能相互ping通，如下图所示：步骤11.（1）把Route B上的s0/0接口下的ACL去掉，如下所示：RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#int s0/0RouteB(config-if)#no ip access-group 1 inRouteB(config-if)#end（2）通过VPCS虚拟机，再次测试三台主机的连通性，测试得知PC1和PC2之间恢复正常，彼此之间能够相互访问，如下图所示：步骤12.（1）在Route B上配置标准ACL，并将ACL应用到Route B接口f1/0出栈方向，查看和记录访问列表的详细信息，如下图所示：RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255RouteB(config)#access-list 1 permit 192.168.3.0 0.0.0.255RouteB(config)#int f1/0RouteB(config-if)#ip access-group 1 outRouteB(config-if)#endRouteB#show access-lists 1（2）通过VPCS虚拟机，测试三台主机的连通性，测试得知PC1和PC3能相互ping通，PC1和PC2不能相互ping通，PC2和PC3能相互ping通，如下图所示：步骤13.（1）把Route B上的f1/0接口下的ACL去掉，如下所示：RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#int f1/0RouteB(config-if)#no ip access-group 1 out（2）通过VPCS虚拟机，再次测试三台主机的连通性，测试得知PC1和PC2之间恢复正常，彼此之间能够相互访问，如下图所示：步骤10.（1）对在路由器RouteB中打开的“console”窗口里输入的设置进行保存，如下图所示：（2）对在路由器RouteB中打开的“console”窗口里输入的设置进行保存，如下图所示：（3）对VPCS窗口里输入的设置进行保存，输入保存命令，如下图所示：（4）点击“文件”—>“Save Project As”，输入下面名字，进行保存，点击“OK”，如下图所示：【实验分析】在路由器RouteA的s0/0端口出栈方向应用ip访问控制时，由于PC1和PC3连接在同一个路由器RouteA上，接入的端口没有任何限制，因此可以相互ping通；在PC1和PC2之间RouteA的s0/0端口出栈方向应用了ip访问控制，限制了与PC1的地址相符合的网段的包从该端口出去，但PC2送的包能到达PC1，因此不能相互ping通；而s0/0端口所应用的ip访问控制，允许了PC3所在网段的包通过，所以PC2和PC3能相互ping通。

中北大学计算机与控制工程学院实验报告组号________ 学号 ____ ___ 姓名 ____ 实验时间__2014-_______ 课程名称：网络设备与集成辅导教师：韩慧妍【实验名称】IP访问控制列表的配置【实验任务】任务1：标准IP访问控制列表的配置实验任务2：配置PPP协议的CHAP单向认证实验任务3：命名的IP访问控制列表的配置实验任务1：标准IP访问控制列表的配置实验【实验目的】配置标准IP ACL，理解ACL的原理、功能和相关注意事项；掌握对指定主机和指定网络规划安全策略的方法；掌握标准IP ACL配置的相关命令。

【实验设备和连接】实验设备和连接如图所示：两台R1762路由器的两个FastEthernet接口各连接一个PC，路由器之间串口相连。

图1标准IP ACL的配置实验【实验分组】每四名同学为一组，其中每两人一小组，每小组各自独立完成实验。

【实验内容】步骤1：完成设备连接和路由器基本配置：R1762-1的配置为：router (config)# hostname R1 762-1 ！配置设备名R1762-1 (config)# interface fastEthernet 1/0 ! 配置fastethernet 1/0接口R1762-1 (config-if)# ip address 172.16.10.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-1 (config-if)# interface fastEthernet 1/1 ! 配置fastethernet 1/1接口R1762-1 (config-if)# ip address 172.16.11.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-1 (config-if)# interface serial 1/2 ! 配置Serial 1/2接口R1762-1 (config-if)# ip address 172.16.1.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-2的配置为：router (config)# hostname R1 762-2 ！配置设备名R1762-2 (config)# interface fastEthernet 1/0 ! 配置fastethernet 1/0接口R1762-2 (config-if)# ip address 172.16.20.1 255.255.255.0R1762-2 (config-if)# no shutdownR1762-2 (config-if)# interface fastEthernet 1/1 ! 配置fastethernet 1/1接口R1762-2 (config-if)# ip address 172.16.21.1 255.255.255.0R1762-2 (config-if)# no shutdownR1762-2 (config-if)# interface serial 1/2 ! 配置Serial 1/2接口R1762-2 (config-if)# ip address 172.16.1.2 255.255.255.0R1762-2 (config-if)# no shutdown配置完成后，可以使用show ip interface命令检查设备的接口配置，确定设备的接口配置完成，F1/0、F1/1和S1/2的状态为UP。

实验十 ACL访问控制列表一、实验目的掌握编号的标准IP访问列表规则及配置。

二、实验要求实现网段间互相访问的安全控制。

三、实验内容你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的三个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

四、实验环境锐捷R2624或R2620路由器（1台）。

五、实验步骤和方法实验步骤：第一步：基本配置Red-Giant>Red-Giant>enableRed-Giant#configure terminalRed-Giant(config)#hostname R1R1(config)# interface fastEthernet 0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config-if)# interface fastEthernet 1R1(config-if)#ip add 192.168.2.1 255.255.255.0R1(config-if)#no shR1(config-if)#interface fastEthernet 3R1(config-if)#ip add 192.168.3.1 255.255.255.0R1(config-if)#no shR1(config-if)#end测试命令：show ip interface brief ！观察接口状态R1#sh ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0 192.168.1.1 YES manual up up FastEthernet1 192.168.2.1 YES manual up up FastEthernet2 unassigned YES unset administratively down down FastEthernet3 192.168.3.1 YES manual up up Serial0 unassigned YES unset administratively down downSerial1 unassigned YES unset administratively down down第二步：配置标准IP访问控制列表R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255 ! 拒绝来自192.168.1.0网段的流量通过R1(config)#access-list 1 permit 192.168.3.0 0.0.0.255 ! 允许来自192.168.3.0网段的流量通过验证测试：show access-lists 1R1#sh access-lists 1Standard IP access list 1deny 192.168.1.0, wildcard bits 0.0.0.255permit 192.168.3.0, wildcard bits 0.0.0.第三步：把访问控制列表在接口下应用R1(config)# interface fastEthernet 1R1(config-if)#ip access-group 1 out ! 在接口下访问控制列表出栈流量调用验证测试：show ip access-lists 1ping(192.168.1.0网段的主机不能ping通192.168.2.0网段的主机；192.168.3.0网段的主机能ping通192.168.2.0网段的主机)注意事项：●注意在访问控制列表的网络掩码是反掩码；●标准控制列表要应用在尽量靠近目的地址的接口；●注意标准访问控制列表的编号是从1-99 。

标准访问控制列表实验实验目的：通过标准访问控制列表的配置来实现禁止R2上的环回接口来PING R3上的环回接口。

实验要求：熟悉并且会做基本的访问控制列表的配置，明白访问控制列表的基本特性。

拓扑如图，接口的IP地址配置说下，R1上的S0为12.12.12.1. S1口为13.13.13.1。

R2上的S0口为12.12.12.2 LO0口为2.2.2.2。

R3上的S1口为13.13.13.3 LO0口为3.3.3.3。

我们先来分析下如何实现这个要求我们首先考虑下实现这个要求访问控制列表在那个接口上进行引用。

我们先来分析下在R2上的S0上是否可以引用如果可以是IN了还OUT。

R1上和R3上也是一样的。

这里先告诉大家R2上是不能配置的，因为访问控制列表只能对穿越的流量起控制作用对自己本身发起的流量起不了任何作用了。

R1和R3上的接口都可以引用。

这里的话我们先在R1的S0口进行配置方向为IN方向。

R1上的配置r1(config)#r1(config)#interface s0r1(config-if)#no shutdownr1(config-if)#ip add 12.12.12.1 255.255.255.0r1(config-if)#exitr1(config)#interface s1r1(config-if)#no shutdownr1(config-if)#ip address 13.13.13.1 255.255.255.0r1(config-if)#exitr1(config)#access-list 1 deny host 2.2.2.2 // 配置一个访问控制列表编号为1（1-99表示是标准的。

如果这里为100的话就是扩展的了）第一句话是拒绝主机地址为2.2.2.2的地址。

我们访问控制列表是有顺序的。

写在最前面的就是第一句r1(config)#access-list 1 permit any // 允许其他所有的数据通过，如果不写这句就是拒绝所有的数据了（在访问控制列表的最后一句是隐含拒绝一切数据）r1(config)#interface s0r1(config-if)#ip access-group 1 in // 在S0的接口上把访问控制列表给引用方向为IN方向。

IP访问控制列表配置实例说明：IP访问控制列表的配置实现192.168.1.0网段可以访问192.168.4.0网段，主机1可以访问主机3，而主机2不能访问主机3。

主机1 IP地址 192.168.1.1/24 网关 192.168.1.254主机2 IP地址 192.168.2.1/24 网关 192.168.2.254主机3 IP地址 192.168.4.1/24 网关 192.168.4.254具体步骤如下：第一步：配置路由器0Router>Router>enRouter#conf tRouter(config)#int fa 0/0Router(config-if)#no shRouter(config-if)#no shutdownRouter(config-if)#ip add 192.168.1.254 255.255.255.0Router(config-if)#exitRouter(config)#int fa 1/0Router(config-if)#no shRouter(config-if)#no shutdownRouter(config-if)#ip add 192.168.2.254 255.255.255.0Router(config-if)#exitRouter(config)#int s 2/0Router(config-if)#no shRouter(config-if)#no shutdownRouter(config-if)#ip add 192.168.3.1 255.255.255.0Router(config-if)#clRouter(config-if)#clock raRouter(config-if)#clock rate 64000Router(config-if)#配置路由器1Router>Router>enRouter#conf tRouter(config)#int s 2/0Router(config-if)#no shRouter(config-if)#no shutdownRouter(config-if)#ip add 192.168.3.2 255.255.255.0Router(config-if)#exitRouter(config)#int fa 0/0Router(config-if)#no shRouter(config-if)#no shutdownRouter(config-if)#ip add 192.168.4.254 255.255.255.0Router(config-if)#exit第二步：配置路由路由器0 配置静态路由Router(config-if)#exitRouter(config)#ip rouRouter(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2Router(config)#exitRouter#sh ip rouRouter#sh ip route路由器1配置缺省路由Router(config)#ip rouRouter(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1Router(config)#第三步：在路由器0上创建基本访问控制列表，并将创建好的访问控制列表1应用到s 2/0端口Router#conf tRouter(config)#ip access-list sRouter(config)#ip access-list standard 1Router(config-std-nacl)#deny 192.168.2.0 0.0.0.255Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255Router(config-std-nacl)#endRouter#Router#conf tRouter(config)#int s 2/0Router(config-if)#ip acRouter(config-if)#ip access-group 1 out Router(config-if)#。

本实验对IPX访问控制列表进行配置和监测，包括标准和扩展IPX访问控制列表以及命名的标准和扩展IPX访问控制列表等。

1.实验目的通过本实验，读者可以掌握以下技能:●配置标准IPX访问控制列表;●配置扩展IPX访问控制列表;●配置命名的IPX访问控制列表;●在网络接口上引用IPX访问控制列表;●查看和监测IPX访问控制列表。

2. 设备需求本实验需要以下设备:●Cisco路由器3台，分别命名为R1、R2和R3。

要求R1具有1个以太网接口，R2具有1个以太网接口和1个中行接口，R3具有1个串行接口。

要求所有路由器的IOS 软件均为Desktop以上版本;●1条交叉线序的双绞线，或2条正常线序双绞线和1个Hub;●1条DCE电缆和1条DTE电缆，或1条DCE转DTE电缆;●1台终端服务器，如Cisco 2509路由器，及用于反向Telnet的相应电缆;●1台带有超级终端程序的PC机，以及Console电缆及转接器，3.拓扑结构及配置说明本实验拓扑结构如图10-2所示，R1的E0接口与R2的E0接口通过以太网连接起来，R2与R3的E0接口通过串行电缆连接起来。

拓扑中各网段的IPX网络地址如图10.2中的标注。

4.实验配置及监测结果首先在各路由器上完成IPX协议的基本配置，实现IPX协议的全网连通性，在此基础上进行IPX访问控制列表的配置和监测。

以上配置在以前章节中已进行过类似的实验，在本实验中不再给出配置清单。

为实验操作的方便，现将实验中各路由器有关接口的IPX地址列出:R1:E0，12.0000.0c76.f736;R2:E0，12.0000.0c8e.cdd2;S0，230000.0c8e.cdd2;R3:S0，23.0000.0c31.a81b;L0，AA.0000.0c31.a81b。

不同的路由器会有不同的MAC地址。

所以在读者自己的拓扑环境中，会看到与此不同的IPX地址。

我们主要在R2路由器上配置IPX访问控制列表，R1和R3用于测试目的。

【实验拓扑】实验时，按照拓扑进行网络的连接，注意主机和路由器连接所用的端口。

【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置路由器模块右键点击路由器RouteA图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

《计算机网络工程》实验指导五：IP访问控制列表配置实验右键点击路由器RouteB图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。

第3页/ 共13页（4）按照网络拓扑图连接设备。

步骤2.在CNS3中点击显示各端口信息，分别对其标注配置信息。

源设备源接口介质类型目标接口目标设备Route A(Route A )S0/0 Serial (Route B )S0/0 Route BRoute A f1/0 Fastethernet NIO-UDP PC1Route A f2/0 Fastethernet NIO-UDP PC3Route B f1/0 Fastethernet NIO-UDP PC2 步骤3、路由器Route A上的基本配置RouteA>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA //路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdown《计算机网络工程》实验指导五：IP访问控制列表配置实验RouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0RouteA (config-if)#clock rate 64000 //配置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 //配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。

第10章 访问控制列表361 不再属于这对描述的范围内。

整个的地址掩码对实现的是匹配从192.168.16.0到192.168.23.255的所有IP 地址。

对于访问控制列表，判断是否匹配的过程实际分为3个步骤。

在数据包过滤中，为进行匹配，路由器检查IP 数据包报头中的IP 地址。

假设访问控制列表语句中包含地址掩码对192.168.0.0 0.0.0.255，一个数据包中包含源IP 地址192.168.0.2，路由器将进行如下操作。

用访问控制列表语句中的通配符掩码和地址执行逻辑或（192.168.0.0和0.0.0.255执行逻辑或），该操作的结果为192.168.0.255。

用访问控制列表语句中的通配符掩码和数据包报头中的IP 地址执行逻辑或（192.168.0.2和0.0.0.255执行逻辑或），结果是192.168.0.255。

将两个结果相减。

如果两个结果相等，相减的结果精确为零，则匹配；如果相减的结果不为零，则不匹配，对下条语句重复执行上述3个步骤。

在IP 访问控制列表地址掩码对中，有两个关键字可用来省略一些输入。

第一个是“any ”，它可用来代替地址掩码对0.0.0.0 255.255.255.255。

可以看出，该地址掩码对匹配任何的IP 地址。

另一个是“host ”，它只用于扩展访问控制列表中，用来代替通配符掩码0.0.0.0。

在标准访问控制列表中，当掩码是0.0.0.0时省略它，如果省略了掩码，则表示该掩码是0.0.0.0。

10.1.2 配置标准访问控制列表访问控制列表是在全局配置模式下输入的。

增加标准访问控制列表的基本格式如下：Access-list access-list-number {Deny | Permit} {Source [Source-wildcard] | Any}参数access-list-number 是1～99之间的整数，然后规定条目是允许还是禁止从特定地址来的通信量。

标准访问控制列表配置实训一、实验目的本实训旨在让学生掌握标准访问控制列表的配置方法，理解其工作原理，并能够根据实际需求进行正确的配置。

二、实验设备1. 路由器或交换机2. 计算机或笔记本3. 网络线4. 模拟软件（如GNS3）三、实验步骤与配置示例步骤1：设备连接与基本配置1. 在模拟软件GNS3中，拖拽一个路由器图标并连接到两台计算机，分别命名为Router1和Router2。

2. 启动Router1和Router2，并进入命令行界面。

3. 对两台设备进行基本配置，包括设置主机名、IP地址等。

示例：Router1：Router>enableRouter#configure terminalRouter(config)#hostname Router1Router1(config)#ip dhcp pool pool1Router1(config)#ip dhcp pool pool2Router1(config)#interface GigabitEthernet0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface GigabitEthernet0/1Router1(config-if)#ip address 192.168.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254步骤2：配置标准访问控制列表（ACL）1. 在Router1上创建一个标准访问控制列表（ACL），允许源IP为192.168.1.0/24的数据包访问目标IP为192.168.2.0/24的数据包。

例1.访问控制列表将拒绝特定主机192.168.10.1，但允许其他的所有主机：#access-list 1 deny host 192.168.10.1#access-list 1 permit any例2.访问控制列表将拒绝从192.168.0.0到192.168.255.255的所有流量，但允许192.167.0.0到192.167.255.255的流量。

在这些范围之外的其他所有流量也被隐含的deny all 所拒绝：#access-list 2 deny 192.168.0.0 0.0.255.255#access-list 2 permit 192.167.0.0 0.0.255.255 例3.访问控制列表将拒绝主机192.168.10.1和192.168.10.2，但允许来自网络192.168.10.0的其他所有流量一旦匹配成功，访问控制列表就停止继续匹配。

因此即使流量被下面的permit所允许，但上面的deny也会使报文在到达permit语句之前就被丢弃：#access-list 3 deny host 192.168.10.1#access-list 3 deny host 192.168.10.2#access-list 3 permit 192.168.10.0 0.0.0.255IP标准访问控制列表应用于接口（config）#Interface 口（config-if）#Ip access-group 1 in/out例4.表示允许从129.8.0.0网段的主机向2052.39.160.0网段发送WWW报文：#Access-list 100 permit tcp 129.8.0.0 0.0.255.255202.39.160.0 0.0.0.255 eq www（80）例5.表示该规则序号为100，禁止129.9.0.0网段内的主机建立与202.39.160.0网段内的主机的端口WWW（80）的连接：#access list 100 deny tcp 129.9.0.0 0.0.255.255 202.38.160.00.0.0.255 eq www（80）例6.表示该规则序号为101，禁止一切主机建立与IP地址为202.38.160.1的主机的Telnet（23）的连接：#Access-list 101 deny tcp any 202.38.160.1 0.0.0.0.0 eq telnet 例7.表示该规则序号为102，禁止129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的端口大于128的UDP连接：#Access-list 102 deny udp 129.9.8.0 0.0.0.255 202.38.160.00.0.0.255 gt 128例8.表示该规则序号为1禁止129.9.8.0网段内的主机与202.38.160.0 PING通#Access-list 1 deny icmp 129.9.8.0 0.0.0.255 202.38.160.00.0.0.255表-扩展访问控制列表的操作符意义操作符及语法意义Eg portnumber等于端口号portnumberGt portnumber大于端口号portnumberLt portnumber小于端口号portnumberNeg portnumber不等于端口号portnumberRange portnumber1 portnumber2介于端口号portnumber1和portnumber2之间表-端口号助记符TCP Domain（DNS）Domain NmeSrvice（53）空间Ftp（21）File Transfer Protocol（21）邮件Smtp（25）Simple Mail Transport Protocol（25）远程Telnet（23）Tlnet（23网站www（80）World Wide Web（HTTP，80）1.动态路由：#router rip(config-router)#network IP2.过滤病毒实验：参考：（冲击波常用端口：135 138 139 4444 69）（config）#ip access-list extended companyDeny tcp any anyeq 135Deny tcp any anyeq 138Deny tcp any anyeq 139Deny tcp any anyeq 4444Deny tcp any anyeq 69Interface g0/0Ip access-group company in。

IP访问控制列表配置目录：一、IP标准访问控制列表的建立及应用 (1)第4步：▲验证测试 (3)第3步：▲验证测试 (6)二、IP 【扩展访问控制列表】的建立及应用 (7)第5步：验证测试 (10)五、▲总结： (12)▲表示重要的一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty04是进入VTY端口,对VTY端口进行配置,比如说配置密码,RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0RouterA (config-if)#ip address 192.168.1.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface s0/3/0RouterA (config-if)#ip address 192.168.12.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface s0/3/0RouterA (config-if)#ip address 192.168.2.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#loginRouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0RouterB (config-if)#ip address 192.168.3.1 255.255.255.0RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface s0/3/1RouterB (config-if)#ip address 192.168.12.2 255.255.255.0RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1第2步：▲在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255RouterB #show access-list 1第3步：▲应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0第4步：▲验证测试在校企主机的命令提示符下Ping 192.168.3.10，能Ping通。

3.12标准IP访问控制列表预备知识：一、实训目的二、应用环境三、实训要求1、实训设备2、实训拓扑图3、配置要求及连线要求4、实训效果PC1能PING通PC3，PC3不能PING通PC3。

四、实训思路五、实训步骤1、按实训拓扑图添加2台2811路由器和2台PC机，并按图连接网络。

2、按实训要求设置PC1、PC2、PC3的IP地址及网关（略）。

3、进入路由器R1命令行配置窗口，更改名称、配置接口地址和打开对应接口。

Router>enRouter#conf tRouter(config)#hostname R1R1(config)#int f0/0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#int f0/1R1(config-if)#ip add 200.11.2.1 255.255.255.0R1(config-if)#no shut4、分别测试PC1与PC3、PC2与PC3的连通性，如下图所示。

PC1与PC2连通。

PC2与PC3连通。

5、在路由器R1的全局配置模式下创建标准访问控制列表，阻止PC2访问PC3,如下所示。

R1(config-if)#exitR1(config)#access-list 1 deny host 192.168.1.3R1(config)#permit anyR1(config)#或：R1(config-if)#exitR1(config)#ip access-list standard 1R1(config-std-nacl)#deny host 192.168.1.3R1(config-std-nacl)#permit anyR1(config-std-nacl)#/*此时只创建了列表，没有应用到具体的接口前PC2与PC3还能连通*/6、在特权用户配置模式下使用“show ip access-lists”查看创建的访问控制列表。

IP访问控制列表配置一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface fastethernet 0/1 注释：fa 1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第3步：应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0 注释：fa 0第4步：验证测试在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

路由器标准IP访问控制列表(ACLS)配置实验四川兴科城市交通技工学校---胡老师一、实验目的1、理解标准IP访问控制列表的原理及功能；2、掌握编号的标准IP访问控制列表的配置方法；二、实验目标假定四川兴科城市交通技工学校有“学工教务部“、“财务部“”和“招生部“，分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，学校领导要求招生部门不能对财务部进行访问，但学工教务部可以对财务部进行访问。

PC1代表学工教务部的主机、PC2代表招生部的主机、PC3代表财务部的主机。

三、技术实现规则1、ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。

ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；2、IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；3、标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；4、扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；5、IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；四、实验方法1、新建Packet Tracer拓扑图2、路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

3、配置路由器接口IP地址。

4、在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

5、在R1上编号的IP标准访问控制6、将标准IP访问控制应用到接口上。

7、验证主机之间的互通性。

五、实验设备PC 3台；Router-PT 2台；交叉线；DCE串口线；六、实验详细配置拓扑结构1、PC1：IP: 172.16.1.2Submask: 255.255.255.0Gageway: 172.16.1.12、PC2：IP: 172.16.2.2Submask: 255.255.255.0Gageway: 172.16.2.13、PC3：IP: 172.16.4.2Submask: 255.255.255.0Gageway: 172.16.4.14、Router01.//配置Router0联通的端口2.Router>en3.Router#conf t4.Router(config)#inter fa 0/05.Router(config-if)#ip address 172.16.1.1 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 1/08.Router(config-if)#ip address 172.16.2.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#inter s 2/011.Router(config-if)#ip address 172.16.3.1 255.255.255.012.Router(config-if)#no shutdown13.Router(config-if)#clock rate 6400014.Router(config-if)#exit5、Router11.//配置Router1联通的端口2.Router>en3.Router#conf t4.Router(config)#inter serial 2/05.Router(config-if)#ip address 172.16.3.2 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 0/08.Router(config-if)#ip address 172.16.4.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#exit6、Router0路由转发1.//配置Router0路由IP转发表，使路由转发来自跃点172.16.3.2的172.16.4.0目标段数据2.Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.27、Router1路由转发1.//配置Router1路由IP转发表，使路由转发来自跃点172.16.3.1的所有IP段的数据2.Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1七、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (success)测试成功！八、Router0准入配置1.//配置Router的IP准入2.Router(config）#3.Router(config-std-nacl)# ip access-list standard cisco //配置准入口令“cisco”4.Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //设置准入IP5.Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //设置拒接接入IP6.Router(config-std-nacl)# conf t7.Router(config)# int s 2/08.Router(config-if)# ip access-group cisco out //向serial2/0 接口发布准入口令九、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)上述实验过程测试通过，大家放心使用。