ACL标准访问控制列表

一、实验设备

2台28系列型号路由器通过串口相连，3台PC。

二、实验要求

你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问。

即：禁止PC2访问PC3，允许PC1访问PC3

三、实验步骤

步骤1

两台路由器分别改为自己姓名缩写1和姓名缩写2的格式，例如zs1，zs2

步骤2.Router1基本配置
Router>en

Router#conf  t

Router(config)#hostname R1

R1(config)#int fa0/0

R1(config-if)#ip add 172.16.1.1  255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#int fa0/1

R1(config-if)#ip add 172.16.2.1  255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#int s0/0/0

R1(config-if)#clock rate 64000

R1(config-if)#ip add 172.16.3.1  255.255.255.0

R1(config-if)#no shut

R1(config-if)#end

步骤3.Router2基本配置
Router>en

Router#conf t

Router(config)#hostname R2

R2 (config)#int fa0/0

R2 (config-if)#ip add 172.16.4.1  255.255.255.0

R2 (config-if)#no shut

R2 (config-if)#exit

R2 (config)#int s0/0/0

R2 (config-if)#ip address 172.16.3.2  255.255.255.0

R2 (config-if)#no shut
R2 (config-if)#end

步骤4.配置静态路由

R1(config)#ip route 172.16.4.0  255.255.255.0  172.16.3.2

R2(config)#ip route 172.16.1.0  255.255.255.0  172.16.3.1

R2(config)#ip route 172.16.2.0  255.255.255.0  172.16.3.1

步骤5.配置标准IP访问控制列表。
R2(config)#access-list 1 deny 172.16.2.0   0.0.0.255    ! 拒绝来自172.16.2.0网段的流量通过
R2(config)#access-list 1 permit 172.16.1.0  0.0.0.255   ! 允许来自172.16.1.0网段的流量通过

步骤6.把访问控制列表在接口下应用。
R2(config)# interface fastEthernet 0/0
R2(config-if)#ip access-group 1 out                ! 在接口下访问控制列表出栈流量调用

四、测试PC2与PC3，以及PC1与PC3的连通性

【注意事项】
1、注意在访问控制列表的网络掩码是反掩码。
2、标准控制列表要应用在尽量靠近目的地址的接口。

3、ping 1.1.1.1出现U.U.U是因为配IP的时候子网没写。

4、按照ACL中指令的顺序依次检查数据报是否满足某一个指令条件。当检测到某个指令条件满足的时候，就不会再检测后面的指令条件。

5、标准ACL使用表号范围1－99，只检查源地址，应放置在接近目的的位置。

6、扩展ACL使用表号范围100－199，可检查源地址和目的地址，可检查第四层的端口号，应放置在接近源的位置上。