访问控制列表(ACL)在实际应用中相当广泛,而且能给我们的网管工作带来益处。真的需要我们好好掌握,对以后的工作大有好处。
实验拓扑:
路由和PC机的基本配置:

PC-3:

PC-4:

 
PC-5:

 

PC-6:
Server-1:

 

Server-2:
路由器的配置:

R-1:

Router>en

Router#conf t

Router(config)#ho R-1

R-1(config)#no ip domain lookup   ---关闭域名查找

R-1(config)#interface  f0/0

R-1(config-if)#ip add 10.1.1.1 255.255.255.0

R-1(config-if)#no sh

R-1(config-if)#exit

R-1(config)#interface f1/0

R-1(config-if)#ip add 30.3.3.1 255.255.255.0

R-1(config-if)#no sh

R-1(config-if)#exit

R-1(config)#interface f1/1

R-1(config-if)#ip add 40.4.4.1 255.255.255.0

R-1(config-if)#no sh

R-1(config-if)#exit

R-1(config)#router rip  ---启动RIP路由协议

R-1(config-router)#version 2   ---选择版本2

R-1(config-router)#network 10.1.1.0   ---宣告直连的10.1.1.0网段

R-1(config-router)#network 30.3.3.0   ---宣告直连的30.3.3.0网段

R-1(config-router)#network 40.4.4.0   ---宣告直连的40.4.4.0网段

R-1(config-router)#no auto-summary   ---关闭RIP的自动汇总

R-1(config-router)#exit      ---退出路由配置模式

R-1(config)#lin vty 0 4     ---配置Telnet登录

R-1(config-line)#password cisco   ---设置VTY密码

R-1(config-line)#login   ---需要登录

R-1(config-line)#exit

R-1(config)#enable secret cisco    ---设定使能密码

R-1#wr   ---保存所有配置信息

验证一下配置:

 
OK!VTY密码设置成功!

R-2:

Router>en

Router#conf t

Router(config)#ho R-2

R-2(config)#interface f0/0

R-2(config-if)#ip add 10.1.1.2 255.255.255.0

R-2(config-if)#no sh

R-2(config-if)#exit

R-2(config)#int

R-2(config-if)#ip add 20.2.2.1 255.255.255.0

R-2(config-if)#no sh

R-2(config-if)#exit

R-2(config)#router rip    ---启动RIP路由协议

R-2(config-router)#version 2  ---使用版本2

R-2(config-router)#network 10.1.1.0   ---宣告直连的10.1.1.0网段

R-2(config-router)#network 20.2.2.0   ---宣告直连的20.2.2.0网段

R-2(config-router)#no auto-summary   ---关闭自动汇总

R-2(config-router)#^Z     ---退出路由配置模式

R-2#wr    ---保存所有配置

R-3:

Router>en

Router#conf t

Router(config)#ho R-3

R-3(config)#interface f0/1

R-3(config-if)#ip add 20.2.2.2 255.255.255.0

R-3(config-if)#no sh

R-3(config-if)#exit

R-3(config)#interface f1/0

R-3(config-if)#ip add 50.5.5.1 255.255.255.0

R-3(config-if)#no sh

R-3(config-if)#exit

R-3(config)#interface f1/1

R-3(config-if)#ip add 60.6.6.1 255.255.255.0

R-3(config-if)#no sh

R-3(config-if)#exit

R-3(config)#router rip    ---启动RIP路由协议

R-3(config-router)#ver 2   ---使用版本2

R-3(config-router)#network 20.2.2.0   ---宣告直连的20.2.2.0网段

R-3(config-router)#network 50.5.5.0   ---宣告直连的50.5.5.0网段

R-3(config-router)#network 60.6.6.0   ---宣告直连的60.6.6.0网段

R-3(config-router)#no auto-summary   ---关闭自动汇总

R-3(config-router)#^Z

R-3#wr

OK!三台路由的IP及路由协议配置完毕.

下面开始ACL实验:

1.     我们不让50.5.5.0网段的PC访问Server-2HTTP服务。

方法如下:

我们使用扩展的ACL,R-3上设置访问策略并应用。

R-3(config)#access-list 110 deny tcp 50.5.5.0 0.0.0.255 40.4.4.0 0.0.0.255 eq www

------扩展ACL编号为110,拒绝源地址段50.5.5.0到目标地址段40.4.4.0TCP信息

R-3(config)#access-list 110 permit ip any any  ---其他的都允许

R-3(config)#interface f1/0

R-3(config-if)#ip access-group 110 in   ---在接口上应用ACL

R-3(config-if)#exit

 

OK!不能访问了,成功!

2.下面我们不让60.6.6.0网段的PC TelnetR-1上。

方法如下:

我们还是在R-3上做ACL(扩展ACL都靠近源做)

R-3(config)#access-list 120 deny tcp 60.6.6.0 0.0.0.255 host 10.1.1.1 eq telnet

---扩展ACL编号120,拒绝60.6.6.010.1.1.1TCP telnet连接

R-3(config)#access-list 120 permit ip any any   ---其他的都允许

R-3(config)#interface f1/1

R-3(config-if)#ip access-group 120 in   --在接口上应用ACL

R-3(config-if)#exit

OK!不能Telnet了,提示:“连接超时,远程主机没有响应。”

3.下面我们在R-1上面设置拒绝所有的ping操作。

方法如下:

R-1(config)#access-list 119 deny icmp any any ---拒绝所有ping行为

R-1(config)#interface f0/0

R-1(config-if)#ip access-group 119 in   ---在接口上应用ACL

R-1(config-if)#exit

测试验证:

PC-6 Ping 30.3.3.100

PC-5 Ping 40.4.4.100
OK!实验完成!