IP访问控制列表的配置

1、基础工作(配置各个路由器接口的IP地址)
R1路由器
Router>enable
Router#configure terminal
Router(config)#hostname r1 将路由器改名为r1
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip address 10.1.1.1 255.255.255.0
r1(config-if)#no shutdown
r2(config)#interface serial 2/0
r2(config-if)#ip address 20.1.1.1 255.255.255.0
r2(config-if)#clock rate 64000
r2(config-if)#no shutdown

在r1上设置enable口令和vty口令，用于telnet测试
r1(config)#enable secret cisco1
r1(config)#line vty 0 4
r1(config-line)#password cisco2
r1(config-line)#login
r1(config-line)#end

R2路由器
Router#configure terminal
Router(config)#hostname r2
r2(config)#interface serial 2/0
r2(config-if)#ip address 20.1.1.2 255.255.255.0
r2(config-if)#no shutdown
r2(config)#interface fastEthernet 0/0
r2(config-if)#ip address 30.1.1.1 255.255.255.0
r2(config-if)#no shutdown
r2(config)#interface fastEthernet 1/0
r2(config-if)#ip address 40.1.1.1 255.255.255.0
r2(config-if)#no shutdown

二、配置OSPF路由协议
r1(config)#router ospf 1
r1(config-router)#network 10.1.1.0 0.0.0.255 area 0
r1(config-router)#network 20.1.1.0 0.0.0.255 area 0
r2(config)#router ospf 1
r2(config-router)#network 20.1.1.0 0.0.0.255 area 0
r2(config-router)#network 30.1.1.0 0.0.0.255 area 0
r2(config-router)#network 40.1.1.0 0.0.0.255 area 0

三、测试连通性
查看r1和r2的路由表，测试PC机之间的连通性

四、配置和引用标准IP访问控制列表，实现市场部和财务部不能互相访问
r2(config)#access-list 1 deny 10.1.1.0 0.0.0.255
r2(config)#access-list 1 permit any
r2(config)#interface fastEthernet 0/0
r2(config-if)#ip access-group 1 out

市场部的PC3访问财务部的PC1，看能否访问。
市场部的PC3访问技术部的PC2，看能否访问。

r2#show ip access-lists 1 查看访问控制列表语句的匹配情况
r2#show ip interface fa0/0 重点了解 access list 相关信息
r2#clear access-list counters

五、配置和引用扩展IP访问控制列表
首先删除r2的ACL配置
r2(config)#no access-list 1
r2(config)#interface fastEthernet 0/0
r2(config-if)#no ip access-group 1 out
PC1和PC2 telnet到r1路由器。

现要求禁止财务部的PC1 telnet到r1路由器上，但PC1能ping通路由器r1，路由器r2不受影响。
R2路由器
r2(config)#access-list 101 deny tcp 30.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 eq 23
r2(config)#access-list 101 permit ip any any
r2(config)#interface fastEthernet 0/0
r2(config-if)#ip access-group 101 in

r2#show ip access-lists
PC1 telnet到r1，能否登录？
PC2 telnet到r1，能否登录？
六、配置和引用命名的IP访问控制列表
首先删除r2的ACL配置
r2(config)#no access-list 101
r2(config)#interface fastEthernet 0/0
r2(config-if)#no ip access-group 101 in

r2(config)#ip access-list extended Test1
r2(config-ext-nacl)#deny icmp 30.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo
r2(config-ext-nacl)#permit ip any any
r2(config-ext-nacl)#exit
r2(config)#interface fastEthernet 0/0
r2(config-if)#ip access-group Test1 in

r2#show ip access-lists
PC1 ping PC3，是否连通？
PC2 ping PC3，是否连通？
七、使用访问控制列表限制telnet访问
配置R1路由器，使它允许来自30.1.1.0/24网段的telnet，而不允许来自其他网段的telnet。
首先把R2路由器上引用访问控制列表的配置清除，然后开始本部分实验。
r2(config)#no ip access-list extended Test1
r2(config)#interface fastEthernet 0/0
r2(config-if)#no ip access-group Test1 in

r1(config)#access-list 2 permit 30.1.1.0 0.0.0.255
r1(config)#access-list 2 deny any
r1(config)#line vty 0 4
r1(config-line)#access-class 2 in

PC1 telnet到r1，能否登录？
PC2 telnet到r1，能否登录？

r1#show ip access-lists 2