标准ACL和扩展ACL的应用实例

基本ACL及扩展ACL的配置一、实验目的理解访问控制列表的工作原理；掌握访问控制列表的基本配置方法；掌握访问控制列表的常用配置方法。

二、实验内容如图1-1所示构建拓扑图，通过配置基本ACL使PC1和PC2之间不能互相访问；通过配置高级ACL禁止从RT1到RT2的FTP数据流，但允许其它数据流通过。

图1-1三、实验步骤任务一：基本ACL的配置步骤一：基本IP的配置。

1.如表1-2所示，完成对PC1、PC2、RT1和RT2的IP地址的配置。

表1-22.配置静态路由达到全网互通。

在RT1上的配置如下[RT1]ip route-static 192.168.2.2 255.255.255.0 192.168.1.2在RT2上的配置如下[RT2]ip route-static 192.168.0.2 255.255.255.0 192.168.1.13.配置完成之后，检查PC之间的连通性。

在PC1上ping PC2的IP地址，可以访问到PC2，PC2同样可以ping 通PC1，如图1-3图1-3步骤二：配置基本ACL并应用。

1.在RT1上配置开启防火墙功能并设置防火墙的缺省过滤方式permit [RT1] firewall enable[RT1]firewall default permit2.配置基本ACL[RT1]acl number 2000[RT1-acl-basic-2000]rule deny source 192.168.0.2 0.0.0.03.要在RT1的接口上应用ACL[RT1-GigabitEthernet0/0/1]firewall packet-filter 2000 inboun d任务二：高级ACL的配置步骤一：基本IP的配置（同任务一的步骤一）步骤二：配置FTP。

1.在RT2上开启FTP服务[RT2]ftp server enable2.配置RT2为FTP服务器端[RT2]local-user chenNew local user added.[RT2-luser-chen]password simple 123[RT2-luser-chen]service-type ftp[RT2-luser-chen]auth level 33.在RT1上登陆RT2服务器端<RT1>ftp 192.168.1.2Trying 192.168.1.2 ...Press CTRL+K to abortConnected to 192.168.1.2.220 FTP service ready.User(192.168.1.2:(none)):chen331 Password required for chen.Password:230 User logged in.[ftp]可以看到输入正确的用户名、密码后，提示登陆成功，可以进行FTP操作，同样可以通过在RT2服务器端查看如图1-4图1-4步骤三、配置并应用高级ACL1. 在RTA上配置开启防火墙功能并设置防火墙的缺省过滤方式为permit[RT1] firewall enable[RT1]firewall default permit2.配置高级ACL[RT1]acl number 3000[RT1-acl-adv-3000]rule deny tcp source 192.168.1.1 0.0.0.0 destination 192.168.1.2 0.0.0.0 destination-port eq ftp[RT1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.1.2 0.0.0.03.在RT1的G0/0/0接口应用ACL[RT1-GigabitEthernet0/0/0]firewall packet-filter 3000 outbound四、实验结果1.基本ACL配置完成后连通性检测在PC1上使用Ping命令来测试从PC1到PC2的可达性，结果是ping包返回目的网段不可达。

ACL实验配置ACL 高度总结：(以下总结希望都去做实验验证一下)1．为了避免 ACL 过多，号不够用，标准列表和扩展列表的范围进行了扩充标准：1-99，1300-1999扩展：100-199 ，2000-26992．路由器上的 ACL 不对自己产生的流量产生作用。

3．ACL 没有定义内容，就相当于不存在。

4．ACL 在一个接口的一个方向上只能配置一个访问列表，后面的会覆盖前面的5．不论是标准还是扩展列表，每个条目之间都是一个鼻孔出气，想要去掉某一个条目，实现不了，要么都去掉，要么都存在；但是命名的访问列表可以去掉单独的某一条目。

添加的条目会自动添加在末尾，不能在中间添加我们现在把R1和R5作为PC机，在R2、R3、R4上运行RIP v2，保障路由畅通。

一、标准ACL：要求： 192.168.1.0网络的数据不能访问192.168.4.0网络1、我们先在R2上配置ACL：access-list 1deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0的数据通过access-list 1 permit any 允许其它网络的数据通过在接口上应用：interface fa0/0ip access-group 1 in 在法FA0/0口的进方向上应用ACL1测试：用PC0去ping 192.168.4.2，我们发现ping不通，说明ACL生效了，但是我们用PC0去ping其它的网络，比如ping 172.16.1.1,也ping不通，因为标准ACL只能对源进行控制，现在R2拒绝了来自192.168.1.0的数据，不管是到哪儿去的，所以R1现在哪儿都去不了。

在R2上用扩展的ping ，用192.168.1.2这个s0口的地址去ping 192.168.4.2，我们发现可以ping通，这是因为对于路由器自己产生的数据，ACL不起作用。

2、我们在R4上配置ACL：access-list 1deny 192.168.1.0 0.0.0.255 access-list 1 permit any在接口上应用：interface Serial1ip access-group 1 out 在s0口的出方向上应用ACL1在R2上把ACL去掉。

ACL实施配置指导ACL分类：第一类是：基本ACL1.标准ACL的编号范围：1-99和1300-1999；2.2.标准ACL只匹配源ip地址，3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

第二类是：扩展ACL1.扩展ACL的编号范围：100-199和2000-2699。

2.标准ACL只匹配源ip地址，扩展ACL可以匹配数据流的五大元素（源ip地址、目的ip地址、源端口、目的端口、协议号）3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

ACL规划：标准ACL总体规划如下:注释：通用ACL即是一类用户的接口都调用的ACL.扩展ACL总体规划如下：ACL规范：ACL命名规范：为了便于ACL的管理和检索，新增ACL命名规范需要统一制定规范，命名规范如下：公式：AAA_BB_N各字段含义如下：✓AAA：所属学校名称单字的首拼音大写，如西安工业大学则为XAGYDX；✓BB：区分不同的部门，如果为校内使用，则BB字段为XN。

如果是校外使用，则BB字段为XW。

如果是管理节点使用，则BB字段为GL。

如果是测试用户使用，则BB字段为CS；✓N：在默认情况下是数字1，如果遇到AAA_BB都一致时，N就从1往上加。

ACL访问控制1. 什么是访问控制列表指根据事先设定好的一系列的规则，对进出路由器或者三层交换机的数据包进行检测，实现对网络的访问控制管理、流量管理等。

访问控制列表的种类2. 目前主要有三种访问控制列表（ACL）：标准ACL扩展ACL命名ACL主要动作为允许（Permit）和拒绝（deny）。

主要应用方法：入栈（In）和出栈（Out）应用。

2.1 标准ACL标准访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。

编号范围是从1到99。

Route(config)#access-list 1 deny 192.168.1.0 0.0.0.2552.2 扩展ACL扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

编号范围是从100到199。

Route(config)#access-list 101 deny 192.168.1.0 0.0.0.255 202.114.254.0 0.0.0.2552.3 命名的访问控制列表所谓命名的访问控制列表是以列表名代替列表编号来定义IP访问控制列表。

(1). 标准的命名访问控制列表Route(config)#ip access-list standard list-nameRoute(config-std-nacl)#(2). 扩展的命名访问控制列表route(config)ip access-list extended list-nameroute(config-ext-nacl)#2.4 基于时间的访问控制列表基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。

这里我们主要讲解下定义时间段，具体格式如下：time-range 时间段名称absolute start [小时：分钟] [日月年] [end] [小时：分钟] [日月年] 例如：time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005 意思是定义了一个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。

标准ACL、扩展ACL和命名ACL的配置详解访问控制列表(ACL)是应⽤在路由器接⼝的指令列表(即规则)。

这些指令列表⽤来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。

访问控制列表(ACL)的⼯作原理ACL使⽤包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。

如源地址，⽬标地址，源端⼝，⽬标端⼝等，根据预先定义好的规则，对包进⾏过滤，从⽽达到访问控制的⽬的。

ACl是⼀组规则的集合，它应⽤在路由器的某个接⼝上。

对路由器接⼝⽽⾔，访问控制列表有两个⽅向。

出：已经过路由器的处理，正离开路由器的数据包。

⼊：已到达路由器接⼝的数据包。

将被路由器处理。

如果对路由器的某接⼝应⽤了ACL，那么路由器对数据包应⽤该组规则进⾏顺序匹配，使⽤匹配即停⽌的，不匹配则使⽤默认规则的⽅式来过滤数据包。

如下图：访问控制列表的类型标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的访问控制列表号是1-99。

扩展访问控制列表：根据数据包的源IP地址，⽬的IP地址，指定协议，端⼝和标志，来允许或拒绝数据包。

扩展访问控制列表的访问控制列表号是100-199配置标准控制列表创建标准ACL的语法如下：Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]下⾯是命令参数的详细说明access-list-number：访问控制列表号，标准ACL取值是1-99。

permit|deny：如果满⾜规则，则允许/拒绝通过。

source：数据包的源地址，可以是主机地址，也可以是⽹络地址。

source-wildcard：通配符掩码，也叫做反码，即⼦⽹掩码去反值。

如：正常⼦⽹掩码255.255.255.0取反则是0.0.0.255。

删除已建⽴的标准ACL语法如下：Router(config)#no access-list access-list-number列如：创建⼀个ACL允许192.168.1.0⽹段的所有主机。

ACL访问控制列表配置实例分享ACL（Access Control List）访问控制列表是用于控制网络设备的数据流动和访问权限的一种重要网络安全技术。

通过配置ACL，我们可以限制特定IP地址或IP地址段的访问，实现对网络资源的精细化控制。

本文将分享ACL访问控制列表的配置实例，以帮助读者更好地理解和应用ACL技术。

一、ACL基础知识回顾在介绍ACL的配置实例之前，先回顾一下ACL的基础知识。

ACL分为标准ACL和扩展ACL两种类型。

标准ACL仅能根据源IP地址进行过滤，而扩展ACL则可以根据源IP地址、目的IP地址、端口号等多种条件进行过滤。

根据实际应用场景选择合适的ACL类型进行配置。

ACL配置中使用的关键字有：permit（允许通过），deny（拒绝通过），any（任意），host（主机），eq（等于），range（范围），log （记录日志）等。

具体配置过程根据不同网络设备和操作系统的差异而有所差异，本文以常见网络设备为例进行实例分享。

二、标准ACL配置实例标准ACL适用于仅按照源IP地址进行过滤的场景，下面是一个标准ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个标准ACL，命名为“ACL_Standard”。

3. 指定允许或拒绝访问的源IP地址段，例如192.168.1.0/24。

4. 应用ACL到指定的接口，例如应用到GigabitEthernet0/0接口。

5. 保存配置并退出。

三、扩展ACL配置实例扩展ACL可根据源IP地址、目的IP地址、端口号等多种条件进行过滤，适用于更为复杂的网络环境。

以下是一个扩展ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个扩展ACL，命名为“ACL_Extended”。

3. 指定允许或拒绝访问的源IP地址、目的IP地址、端口号等条件，例如允许源IP为192.168.1.0/24的主机访问目的IP为10.0.0.1的主机的HTTP服务（端口号为80）。

实验四ACL 、NAT注：实验报告分别有标准ACL、拓展ACL、静态NAT、动态NAT、PAT 配置五部分。

【实验任务一】标准ACL1.实验目的（1）掌握ACL 设计原则和工作过程（2）掌握定义标准ACL（3）掌握应用ACL（4）掌握标准ACL 调试2.实验内容及要求实验拓扑如图如下：【实现内容】：本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET 服务。

整个网络配置EIGRP（或OSPF）保证IP 的连通性。

【实验分析】：补充：标准ACL最简单，是通过使用IP包中的源IP地址进行过滤，表号范围1-99或1300-1999。

配置ACL之前先保证所有网段网络之间能够互通，然后再进行ACL配置。

实现网段互通我采用OSPF路由协议，它是一种开放式最短路径优先协议，顾名思义我们可以通过一些指定配置，如配置链路带宽来干预它的路由路径选择。

根据实验要求，集中在对R2上的访问控制，为保障实验操作简洁性，因此我们可以着手于R2上进行相应配置来实现。

【实验配置】：OSPF配置：（实现网络互通作用）R1:interface Serial0/0/0 //与R2之间相连接的链路串口ip address 192.168.12.1 255.255.255.0 //配置IP地址及掩码clock rate 64000 //串口线时钟端配置时钟频率interface Serial0/0/1ip address 192.168.23.1 255.255.255.0clock rate 64000 //串口线时钟端配置时钟频率router ospf 1 //ospf本地进程号log-adjacency-changes //激活路由协议邻接关系变化日志network 10.1.1.0 0.0.0.255 area 0 //宣告直连网络，骨干网络network 172.16.1.0 0.0.0.255 area 0 //are 0 表骨干区域网络network 192.168.12.0 0.0.0.255 area 0 //采用反掩码方式宣告R2：interface Loopback0 //创建回环接口ip address 2.2.2.2 255.255.255.0 //作为路由器网管IP及路由IDrouter ospf 1 //本地进程号network 192.168.23.0 0.0.0.255 area 0 //宣告直连网络，下同network 192.168.12.0 0.0.0.255 area 0network 2.2.2.0 0.0.0.255 area 0远程管理配置enable password cisco //特权模式密码，还可采用secret配置line vty 0 2 //允许三条线路进行管理access-class 2 in //只允许list 2内的网络访问配置password cisco //telnet密码login //启用,生效R3：router ospf 1network 192.168.23.0 0.0.0.255 area 0network 172.16.3.0 0.0.0.255 area 0 //R3只需宣告两个直连网络标准ACL配置R2：拒绝PC2所在网络远程接入:access-list 1 deny 172.16.1.0 0.0.0.255 //拒绝172.16.1.0网络access-list 1 permit any //除指定网络，其余地址允许access-list 2 permit host 172.16.3.2 //只允许的主机IP地址interface Serial0/0/0 //PC2在s0/0/0方向在端口s0/0/0下配置ip address 192.168.12.2 255.255.255.0 //配置ip地址ip access-group 1 in //在端口指定ACL列表1，方向为”进”【实验测试】拒绝PC2 所在网段访问路由器R2：FastEthernet0 Connection:(default port)IP Address......................: 172.16.1.2PC>ping 2.2.2.2Pinging 2.2.2.2 with 32 bytes of data:Reply from 192.168.12.2: Destination host unreachable.Reply from 192.168.12.2: Destination host unreachable.…PC2在R1路由表健全的情况下进行访问R2也是主机不可达，因此实验是成功的。

标准acl 扩展acl标准ACL（Access Control List）和扩展ACL是网络安全中常用的两种访问控制列表，用于控制网络设备上的数据流向和访问权限。

本文将对标准ACL和扩展ACL进行详细介绍，并比较它们之间的区别和适用场景。

ACL是一种基于规则的访问控制机制，通过在路由器、交换机等网络设备上配置ACL规则，可以限制数据包的流向和访问权限。

ACL可以根据源IP地址、目标IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而提高网络的安全性和管理效率。

首先，我们来介绍标准ACL。

标准ACL是最简单的一种ACL类型，它只能根据源IP地址来匹配数据包，并根据匹配结果决定是否允许数据包通过。

标准ACL的配置范围是1-99和1300-1999，其中1-99用于过滤IPV4数据包，1300-1999用于过滤IPV6数据包。

标准ACL通常用于实现简单的访问控制策略，比如限制某些特定的IP地址访问网络设备或特定的网络服务。

与标准ACL相对应的是扩展ACL。

扩展ACL可以根据源IP地址、目标IP地址、协议类型、端口号等多种条件对数据包进行匹配，并根据匹配结果决定是否允许数据包通过。

扩展ACL的配置范围是100-199和2000-2699，其中100-199用于过滤IPV4数据包，2000-2699用于过滤IPV6数据包。

扩展ACL相对于标准ACL来说，能够实现更加灵活和精细化的访问控制策略，因此在实际应用中更加常见。

在实际应用中，我们应该根据具体的网络环境和安全需求来选择合适的ACL类型。

如果只需要简单地限制某些特定的IP地址访问网络设备或特定的网络服务，可以选择标准ACL；如果需要实现更加灵活和精细化的访问控制策略，可以选择扩展ACL。

另外，我们还需要注意ACL的配置顺序，因为ACL是按照配置顺序逐条匹配的，所以配置顺序的不当可能会导致意外的网络访问问题。

总之，标准ACL和扩展ACL是网络安全中常用的两种访问控制列表，它们可以帮助我们实现对网络数据流向和访问权限的精细化控制。

实验二十六配置扩展IP ACL【实验名称】配置扩展IP ACL。

【实验目的】使用扩展IP ACL实现高级的访问控制。

【背景描述】某校园网中，宿舍网、教工网和服务器区域分别属于不同的3个子网，3个子网之间使用路由器进行互联。

宿舍网所在的子网为172.16.1.0/24，教工网所在的子网为172.16.2.0/24，服务器区域所在的子网为172.16.4.0/24。

现在要求宿舍网的主机只能访问服务器区域的FTP服务器，而不能访问WWW Server。

教工网的主机可以同时访问FTP Server和WWW Server。

此外，除了宿舍网和教工网到达服务器区域的FTP 和WWW流量以外，不允许任何其他的数据流到达服务器区域。

扩展IP ACL可以根据配置的规则对网络中的数据进行过滤。

【实验】1.1 实验设备1、用户自定义2621路由器2台2、PC机4台（其中两台需要分别安装FTP服务和WWW服务）1.2 组网图PC31.3 设备IP地址表扩展IP ACL可以对数据包的源IP地址、目的IP地址、协议、源端口、目的端口进行检查。

由于扩展IP ACL能够提供更多对数据包的检查项，所以扩展IP ACL常用于高级的、复杂的访问控制。

当应用ACL的接口接收或发送报文时，将根据接口配置的ACL规则对数据进行检查，并采取相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。

1.4 配置步骤第一步：RT1基本配置。

第二步：RT2基本配置。

第三步：在RT1上配置静态路由第四步：在RT2上配置静态路由。

第五步：配置扩展IP ACL。

对于扩展IP ACL，由于可以对数据包中的多个元素进行检查，所以可以将其放置到距离源端近的位置，在本实验中是RT1的S0/0接口。

（1）允许来自宿舍网172.16.1.0/24子网的到达FTP Server （172.16.4.2）的流量（2）允许来自教工网172.16.2.0/24子网的到达FTP Server （172.16.4.2）的流量（3）允许来自教工网172.16.2.0/24子网的到达WWW Server （172.16.4.3）的流量第六步：应用ACL第七步：在主机上安装FTP Server和WWW Server。

实例1—标准访问控制列表：禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。

172.16.4.13可以正常访问172.16.3.0/24。

access-list 1 permit host 172.16.4.13 设置ACL，容许172.16.4.13的数据包通过。

access-list 1 deny any设置ACL，阻止其他一切IP地址进行通讯传输。

int e 1进入E1端口。

ip access-group 1 in将ACL 1宣告。

经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。

来自其他IP地址的数据包都无法通过E1传输。

小提示：由于CISCO默认添加了DENY ANY的语句在每个ACL中，所以上面的access-list 1 deny any这句命令可以省略。

另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。

实例2—扩展访问控制列表：禁止172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过惟独可以访问172.16.4.13上的WWW服务，而其他服务不能访问。

access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www设置ACL101，容许源地址为任意IP，目的地址为172.16.4.13主机的80端口即WWW服务。

由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。

int e 1进入E1端口ip access-group 101 out将ACL101宣告出去设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了，就算是服务器172.16.4.13开启了FTP服务也无法访问，惟独可以访问的就是172.16.4.13的WWW服务了。

基本访问控制列表编号范围一、什么是基本访问控制列表（ACL）？基本访问控制列表（ACL）是一种用于控制网络中资源访问权限的机制。

通过ACL，网络管理员可以指定允许或禁止特定用户或用户组对资源的访问。

ACL可以应用于路由器、交换机、防火墙等网络设备，以实现对网络流量的精细控制。

二、ACL编号范围ACL的编号范围决定了ACL的优先级顺序，较低编号的ACL将优先匹配和应用于网络流量。

在不同的网络设备上，ACL的编号范围可能会有所不同。

下面是一些常见的ACL编号范围示例：2.1 路由器ACL编号范围在路由器上，ACL通常应用于接口或路由器的特定功能，如路由、NAT等。

对于路由器ACL，一般有两种编号范围：1.标准ACL编号范围：1-99或1300-1999。

标准ACL只能根据源IP地址进行过滤，不能根据目的IP地址、端口号等进行过滤。

2.扩展ACL编号范围：100-199或2000-2699。

扩展ACL可以根据源IP地址、目的IP地址、端口号等多个条件进行过滤。

2.2 交换机ACL编号范围在交换机上，ACL通常应用于虚拟局域网（VLAN）接口或交换机的特定功能，如虚拟局域网间路由（VLAN Routing）、访问控制等。

对于交换机ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

2.3 防火墙ACL编号范围在防火墙上，ACL通常应用于过滤网络流量，以保护网络免受未经授权的访问。

对于防火墙ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

三、如何配置ACL配置ACL的具体步骤和语法可能因不同的网络设备而有所不同。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192.168.2.2这台主机访问192.168.1.0/24这个网段中的服务器，而192.168.2.0/24这个网段中的其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192.168.2.2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0的出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192.168.2.0/24这个网段中的主机可以访问外网，192.168.1.0/24这个网段的主机则不可以。

3、设置访问控制列表3，只允许192.168.2.3这台主机可以使用telnet连接R1。

4、查看访问控制列表2 match(es)这些信息显示是过滤包的数据，可以使用clear access-list counters命令来清除。

5、查看配置在接口上的访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一是删除访问控制列表，二是取消访问控制列表有接口上的应用。

实验二：扩展访问控制列表扩展访问控制列表的语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP反码条件[eq] [具体协议/端口号]1、在SERVER上搭建WWW、FTP、DNS服务如下：2、测试从三台PC中是否可以正常访问各种服务。

如上表明，FTP、WWW、FTP服务都可以正常工作，且其余三台PC都可以正常访问。

3、在R1上设置扩展访问控制列表101，禁止192.168.2.2这台主机PING通服务器，禁止192.168.2.3这台主机访问FTP服务。

R1(config)#access-list 101 deny icmp host 192.168.2.2 host 192.168.1.2R1(config)#access-list 101 deny tcp host 192.168.2.3 host 192.168.1.2 eq 20R1(config)#access-list 101 deny tcp host 192.168.2.3 host 192.168.1.2 eq 21R1(config)#access-list 101 permit ip any anyR1(config)#int f0/1R1(config-if)#ip access-group 101 inR1#show access-lists 101Extended IP access list 101deny icmp host 192.168.2.2 host 192.168.1.2deny tcp host 192.168.2.3 host 192.168.1.2 eq 20deny tcp host 192.168.2.3 host 192.168.1.2 eq ftppermit ip any any4、在R1上设置扩展访问控制列表102，允许外网中的用户只能访问WWW服务。

实验1：标准ACL一实验目的通过本实验可以掌握：（1）ACL设计原则和工作过程（2）定义标准ACL（3）应用ACL（4）标准ACL调试二拓扑结构三实验步骤（1）步骤1：配置路由器R1Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int fa 0/0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#int fa 0/1R1(config-if)#ip add 172.16.1.0 255.255.255.0Bad mask /24 for address 172.16.1.0R1(config-if)#ip add 172.16.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state toupR1(config-if)#int s0/0/0R1(config-if)#ip add 192.168.12.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exitR1(config)#router eigrp 1R1(config-router)#network 10.1.1.0 0.0.0.255R1(config-router)#network 172.16.1.0 0.0.0.255R1(config-router)#network 192.168.12.0R1(config-router)#no auto（2）步骤2：配置路由器R2Router>enRouter#conftEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip add 192.168.12.2 255.255.255.0R2(config-if)#no shutR2(config-if)#%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR2(config-if)#int s0/0/1R2(config-if)#ip add 192.168.23.2 25%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up5 R2(config-if)#ip add 192.168.23.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config)#int lo0R2(config-if)#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R2(config-if)#ip add 2.2.2.2 255.255.255.0R2(config-if)#exitR2(config)#router eigrp 1R2(config-router)#network 2.2.2.0 0.0.0.255R2(config-router)#network 192.168.12.0 0.0.0.255R2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#network 192.168.23.0 0.0.0.255R2(config-router)#no auto-summaryR2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#exitR2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义标准ACLR2(config)#access-list 1 permit anyR2(config)#interface s0/0/0R2(config-if)#ip access-group 1 in //在接口上开启ACLR2(config-if)#access-list 2 permit 172.16.3.1 //定义标准ACLR2(config)#line vty 0 4R2(config-line)#access-class 2 in //在vty上开启ACLR2(config-line)#password ciscoR2(config-line)#login（3）步骤3：配置路由器R3Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R3R3(config)#int fa 0/0R3(config-if)#ip add 172.16.3.3 255.255.255.0R3(config-if)#no shutR3(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR3(config-if)#int s0/0/1R3(config-if)#ip add 192.168.23.3 255.255.255.0R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to upR3(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to upR3(config-if)#exitR3(config)#router eigrp 1R3(config-router)#network 172.16.3.0 0.0.0.255R3(config-router)#network 192.168.23.0 0.0.0.255%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: newadjacencyR3(config-router)#no auto-summary%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: new adjacency四实验调试在PC1网络所在主机上ping 2.2.2.2，应该通，在PC2网络所在的主机上ping 2.2.2.2 应该不通，在主机PC3上Telnet 2.2.2.2，应该成功。

acl标准和扩展编号
在计算机网络和系统管理中，"ACL" 通常指的是"Access Control List"（访问控制列表），用于规定对资源的访问权限。

不同的设备和操作系统可能有不同的ACL 标准和扩展编号，以下是一些常见的ACL 标准和扩展编号的示例：
Cisco 路由器上的ACL 标准编号：
•标准ACL：1-99
•扩展ACL：100-199
Cisco ASA 防火墙上的ACL 标准编号：
•标准ACL：1-99
•扩展ACL：100-199, 2000-2699
Cisco 路由器和交换机上的ACL 扩展编号：
•标准ACL：1-99
•扩展ACL：100-199, 2000-2699
路由器上的ACL 标准和扩展编号（一般）：
•标准ACL：1-99
•扩展ACL：100-199, 200-299, ..., 1300-1999
Linux 系统上的iptables（Netfilter）规则编号：
•输入链（Input）：1-32767
•输出链（Output）：1-32767
•转发链（Forward）：1-32767
Windows 防火墙规则编号：
•Windows 防火墙规则：具有唯一的GUID 标识符
请注意，这只是一些常见的ACL 标准和扩展编号的示例，实际上，具体的编号可能会因不同设备、操作系统、网络设备或应用而有所不同。

在配置ACL 时，你应该参考相应设备或系统的文档以了解正确的编号范围和使用规则。