配置标准ACL；配置扩展ACL；配置标准命名ACL；配置扩展命名ACL

1：配置标准ACL

1.1问题

络调通后，保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题，还要解决网络安全的问题。

配置标准ACL实现拒绝PC1（IP地址为192.168.1.1）对外问网络192.168.2.1的访问

1.2方案

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

访问控制列表（访问控制列表，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能数据包可以收，哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址，目的地址，端口号等的特定指示条件来决定。

标准访问控制列表只能根据数据包的源IP地址决定是否允许通过。

网络拓扑如图-1所示：

图-1

1.3步骤

实现此案例需要按照如下步骤进行。

步骤一：在R1上配置接口IP

复制文本弹出窗口

达内- R1 （配置）＃接口 F0 / 0
tarena - R1 （ config - if ） #ip address 192.168.1.254 255.255.255.0
tarena - R1 （ config - if ） #no shutdown
达内- R1 （配置- 如果）＃接口 F0 / 1
tarena - R1 （ config - if ） #ip address 192.168.2.254 255.255.255.0
tarena - R1 （ config - if ） #no shutdown

tarena-R1（config）#interface f0 / 0

tarena-R1（config-if）#ip地址192.168.1.254 255.255.255.0

tarena-R1（config-if）#no shutdown

tarena-R1（config-if）#interface f0 / 1

tarena-R1（config-if）#ip地址192.168.2.254 255.255.255.0

tarena-R1（config-if）#no shutdown

步骤二：测试主机到192.168.2.1的连通性

在实施ACL之前先检查网络是否能够正常通信，因为没有任何限制，网络应该是处于连通状态。

PC1测试如下所示：

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链路-本地IPv6地址.........： FE80 :: 2E0 ： F7FF ： FED6 ： 54CC
IP地址......................： 192.168.1.1
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.2.100
使用32 字节数据对192.168.2.100 进行 Ping操作：
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 126
Ping统计信息为 192.168.2.1 ：
数据包：已发送= 4 ，已接收= 2 ，已丢失= 2 （已丢失50 ％），
近似往返时间以毫秒-秒：
最小值= 0ms ，最大值= 0ms ，平均值= 0ms
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2E0：F7FF：FED6：54CC

IP地址......................：192.168.1.1

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.2.100

使用32字节数据对192.168.2.100进行Ping操作：

来自192.168.2.1的回复：bytes = 32 time = 0ms TTL = 126

Ping统计信息为192.168.2.1：

数据包：已发送= 4，已接收= 2，已丢失= 2（已丢失50％），

以毫秒为单位的近似往返时间：

最小值= 0ms，最大值= 0ms，平均值= 0ms

PC>

PC2测试如下所示：

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链接-本地IPv6地址.........： FE80 :: 2D0 ： BAFF ： FE98 ：9E29
IP地址......................： 192.168.1.2
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.2.1
使用32 字节数据对192.168.2.1 进行 Ping操作：
来自192.168.2.1的回复： bytes = 32 time = 2ms TTL = 126
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 126
Ping统计信息为 192.168.2.1 ：
数据包：已发送= 4 ，已接收= 4 ，已丢失= 0 （0 ％丢失），
近似往返时间以毫秒-秒：
最小值= 0ms ，最大值= 2ms ，平均值= 0ms
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2D0：BAFF：FE98：9E29

IP地址......................：192.168.1.2

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.2.1

使用32字节数据对192.168.2.1进行Ping操作：

来自192.168.2.1的回复：bytes = 32 time = 2ms TTL = 126

来自192.168.2.1的回复：bytes = 32 time = 0ms TTL = 126

Ping统计信息为192.168.2.1：

数据包：已发送= 4，已接收= 4，已丢失= 0（0％丢失），

以毫秒为单位的近似往返时间：

最小值= 0ms，最大值= 2ms，平均值= 0ms

PC>

步骤三：在R1上配置标准访问控制列表，并应用到的Fa0 / 0端口

ACL的匹配规则中，最后有一条隐含拒绝全部。如果语句中全部是拒绝条目，那么最后必须存在允许语句，否则所有数据通信都将被拒绝。

复制文本弹出窗口

tarena - R1 （ config ） #access - list 1 deny host 192.168.1.1
tarena - R1 （ config ） #access - list 1 permit 192.168.1.0 0.0.0.255
达内- R1 （配置）＃接口 F0 / 0
tarena - R1 （ config - if ） #ip access - group 1 in

tarena-R1（config）＃access-list 1拒绝主机192.168.1.1

tarena-R1（config）＃access-list 1 permit 192.168.1.0 0.0.0.255

tarena-R1（config）#interface f0 / 0

tarena-R1（config-if）#ip access-group 1 in

步骤四：分别在两台主机上测试到192.168.2.1的连通性

PC1测试如下所示：

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链路-本地IPv6地址.........： FE80 :: 2E0 ： F7FF ： FED6 ： 54CC
IP地址......................： 192.168.1.1
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.2.1
使用32 字节数据对192.168.2.1 进行 Ping操作：
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
Ping统计信息为 192.168.2.1 ：
数据包：已发送= 4 ，已接收= 0 ，已丢失= 4 （已丢失100 ％），
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2E0：F7FF：FED6：54CC

IP地址......................：192.168.1.1

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.2.1

使用32字节数据对192.168.2.1进行Ping操作：

来自192.168.1.254的回复：目标主机无法访问。

Ping统计信息为192.168.2.1：

数据包：已发送= 4，已接收= 0，已丢失= 4（已丢失100％），

PC>

PC2测试如下所示：

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链接-本地IPv6地址.........： FE80 :: 207 ： ECFF ： FE46 ： CAC0
IP地址......................： 192.168.1.2
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.2.1
使用32 字节数据对192.168.2.1 进行 Ping操作：
来自192.168.2.1的回复： bytes = 32 time = 1ms TTL = 127
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 127
来自192.168.2.1的回复： bytes = 32 time = 1ms TTL = 127
来自192.168.2.1的回复： bytes = 32 time = 0ms TTL = 127
Ping统计信息为 192.168.2.1 ：
数据包：已发送= 4 ，已接收= 4 ，已丢失= 0 （0 ％丢失），
近似往返时间以毫秒-秒：
最小值= 0ms ，最大值= 1ms ，平均值= 0ms
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 207：ECFF：FE46：CAC0

IP地址......................：192.168.1.2

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.2.1

使用32字节数据对192.168.2.1进行Ping操作：

来自192.168.2.1的回复：bytes = 32 time = 1ms TTL = 127

来自192.168.2.1的回复：bytes = 32 time = 0ms TTL = 127

来自192.168.2.1的回复：bytes = 32 time = 1ms TTL = 127

来自192.168.2.1的回复：bytes = 32 time = 0ms TTL = 127

Ping统计信息为192.168.2.1：

数据包：已发送= 4，已接收= 4，已丢失= 0（0％丢失），

以毫秒为单位的近似往返时间：

最小值= 0ms，最大值= 1ms，平均值= 0ms

PC>

结果显示PC2（IP地址为192.168.1.2）可以正常访问192.168.2.1，而PC1（IP地址为192.168.1.1）已经被192.168.1.254（R1）拒绝。

步骤五：在R1上查看相关的ACL信息

复制文本弹出窗口

tarena - R1＃show ip access - lists
标准IP访问列表1
10拒绝主机 192.168.1.1 （4 匹配（ ES））
20许可证 192.168.1.0 0.0.0.255 （8 匹配（ ES）

tarena-R1＃show ip access-lists

标准IP访问列表1

10拒绝主持人192.168.1.1（4场比赛）

20允许192.168.1.0 0.0.0.255（8场比赛）

2案例2：配置扩展ACL

在网络中很有可能要允许或拒绝的并不是某一个源IP地址，而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。

2.1问题

配置扩展ACL允许PC1访问PC4的WWW服务但拒绝访问PC4的其他服务，PC2，PC3无限制。

2.2方案

为了实现更灵活，列精确的网络控制就需要用到扩展访问控制列表了。

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型，源地址，目的地址，源端口，目的端口，建立连接的和IP优先级等。

网络拓扑如图-2所示：

图-2

2.3步骤

实现此案例需要按照如下步骤进行。

步骤一：在三台路由器中配置IP，RIP动态路由实现全网互通

复制文本弹出窗口

达内- R1 （配置）＃接口快速以太网0 / 0
tarena - R1 （ config - if ） #ip address 192.168.1.254 255.255.255.0
tarena - R1 （ config - if ） #no shutdown
tarena - R1 （ config - if ） #exit
达内- R1 （配置）＃接口快速以太网0 / 1
tarena - R1 （ config - if ） #ip地址192.168.2.1 255.255.255.0
tarena - R1 （ config - if ） #no shutdown
tarena - R1 （ config - if ） #exit
tarena - R1 （ config ） #router rip
tarena - R1 （ config - router ） #no auto - summary
tarena - R1 （配置-路由器） #version
tarena - R1 （ config - router ） #network 192.168.1.0
tarena - R1 （ config - router ） #network 192.168.2.0
达内- R2 （配置）＃接口快速以太网0 / 1
tarena - R2 （ config - if ） #ip address 192.168.2.2 255.255.255.0
tarena - R2 （ config - if ） #no shutdown
tarena - R2 （ config - if ） #exit
达内- R2 （配置）＃接口快速以太网0 / 0
tarena - R2 （ config - if ） #ip address 192.168.3.1 255.255.255.0
tarena - R2 （ config - if ） #exit
tarena - R2 （ config ） #router rip
tarena - R2 （ config - router ） #version 2
tarena - R2 （ config - router ） #no auto - summary
tarena - R2 （ config - router ） #network 192.168.2.0
tarena - R2 （ config - router ） #network 192.168.3.0
达内- R3 （配置）＃接口快速以太网0 / 0
tarena - R3 （ config - if ） #ip add 192.168.3.2 255.255.255.0
tarena - R3 （ config - if ） #no shu
tarena - R3 （ config - if ） #exit
达内- R3 （配置）＃接口快速以太网0 / 1
tarena - R3 （ config - if ） #ip address 192.168.4.254 255.255.255.0
tarena - R3 （ config - if ） #no shutdown
tarena - R3 （ config - if ） #exit
tarena - R3 （ config ） #router rip
tarena - R3 （配置-路由器） #version 2
tarena - R3 （ config - router ） #no auto - summary
tarena - R3 （ config - router ） #network 192.168.3.0
tarena - R3 （ config - router ） #network 192.168.4.0

tarena-R1（config）#interface fastEthernet 0/0

tarena-R1（config-if）#ip地址192.168.1.254 255.255.255.0

tarena-R1（config-if）#no shutdown

达内-R1（配置 - 如果）#exit

tarena-R1（config）#interface fastEthernet 0/1

tarena-R1（config-if）#ip地址192.168.2.1 255.255.255.0

tarena-R1（config-if）#no shutdown

达内-R1（配置 - 如果）#exit

tarena-R1（config）#router rip

tarena-R1（config-router）#no auto-summary

达内-R1（配置 - 路由器）的#Version

tarena-R1（config-router）#network 192.168.1.0

tarena-R1（config-router）#network 192.168.2.0

tarena-R2（config）#interface fastEthernet 0/1

tarena-R2（config-if）#ip地址192.168.2.2 255.255.255.0

tarena-R2（config-if）#no shutdown

达内-R2（配置 - 如果）#exit

tarena-R2（config）#interface fastEthernet 0/0

tarena-R2（config-if）#ip地址192.168.3.1 255.255.255.0

达内-R2（配置 - 如果）#exit

tarena-R2（config）#router rip

tarena-R2（config-router）#version 2

tarena-R2（config-router）#no auto-summary

tarena-R2（config-router）#network 192.168.2.0

tarena-R2（config-router）#network 192.168.3.0

tarena-R3（config）#interface fastEthernet 0/0

tarena-R3（config-if）#ip add 192.168.3.2 255.255.255.0

tarena-R3（config-if）#no shu

达内-R3（配置 - 如果）#exit

tarena-R3（config）#interface fastEthernet 0/1

tarena-R3（config-if）#ip地址192.168.4.254 255.255.255.0

tarena-R3（config-if）#no shutdown

达内-R3（配置 - 如果）#exit

tarena-R3（config）#router rip

tarena-R3（config-router）#version 2

tarena-R3（config-router）#no auto-summary

tarena-R3（config-router）#network 192.168.3.0

tarena-R3（config-router）#network 192.168.4.0

步骤二：开启192.168.4.1的http服务后在PC1，PC2和PC3上验证到Web Server的HTTP协议访问，均如图3所示：

图-3

在没有配置扩展ACL的时候，主机均可以正常访问到Web服务器。

步骤三：R1上配置扩展访问控制列表，PC1仅允许到Web Server的HTTP服务（不允许访问其他服务），PC2，PC3无限制

扩展ACL可以对数据包中的源，目标IP地址以及端口号进行检查，所以可以将该ACL放置在通信路径中的任一位置。但是，如果放到离目标近的地方，每台路由器都要对数据进行处理，会更多的消耗路由器和带宽资源。放到离源最近的路由器端口入方向直接就将拒绝数据丢弃，可以减少其他路由器的资源占用以及带宽占用。

复制文本弹出窗口

tarena - R1 （ config ） #access - list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80
tarena - R1 （ config ） #access - list 100 deny ip host 192.168.1.1 host 192.168.4.1
tarena - R1 （ config ） #access - list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
达内- R1 （配置）＃接口快速以太网0 / 0
达内- R1 （配置- 如果） #ip访问-组100 中

tarena-R1（config）＃access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80

tarena-R1（config）#access-list 100 deny ip host 192.168.1.1 host 192.168.4.1

tarena-R1（config）＃access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

tarena-R1（config）#interface fastEthernet 0/0

tarena-R1（config-if）#ip access-group 100 in

步骤四：在PC1上验证

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链路-本地IPv6地址.........： FE80 :: 2E0 ： F7FF ： FED6 ： 54CC
IP地址......................： 192.168.1.1
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.4.1
使用32 字节数据对192.168.4.1 进行 Ping操作：
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
Ping统计信息为 192.168.4.1 ：
数据包：已发送= 4 ，已接收= 0 ，已丢失= 4 （已丢失100 ％），
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2E0：F7FF：FED6：54CC

IP地址......................：192.168.1.1

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.4.1

使用32字节数据对192.168.4.1进行Ping操作：

来自192.168.1.254的回复：目标主机无法访问。

Ping统计信息为192.168.4.1：

数据包：已发送= 4，已接收= 0，已丢失= 4（已丢失100％），

PC>

HTTP协议的验证如图-4所示：

图-4

从输入结果可以验证，PC1到Web服务器的http服务访问没有受到影响但不能ping通Web服务器。

步骤五：在PC2上进行验证

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链接-本地IPv6地址.........： FE80 :: 209 ： 7CFF ： FED5 ： B0E4
IP地址......................： 192.168.1.2
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.4.1
使用32 字节数据对192.168.4.1 进行 Ping操作：
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 125
来自192.168.4.1的回复： bytes = 32 time = 12ms TTL = 125
来自192.168.4.1的回复： bytes = 32 time = 13ms TTL = 125
来自192.168.4.1的回复： bytes = 32 time = 12ms TTL = 125
Ping统计信息为 192.168.4.1 ：
数据包：已发送= 4 ，已接收= 4 ，已丢失= 0 （0 ％丢失），
近似往返时间以毫秒-秒：
最小值= 0ms ，最大值= 13ms ，平均值= 9ms

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 209：7CFF：FED5：B0E4

IP地址......................：192.168.1.2

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.4.1

使用32字节数据对192.168.4.1进行Ping操作：

来自192.168.4.1的回复：bytes = 32 time = 0ms TTL = 125

来自192.168.4.1的回复：bytes = 32 time = 12ms TTL = 125

来自192.168.4.1的回复：bytes = 32 time = 13ms TTL = 125

来自192.168.4.1的回复：bytes = 32 time = 12ms TTL = 125

Ping统计信息为192.168.4.1：

数据包：已发送= 4，已接收= 4，已丢失= 0（0％丢失），

以毫秒为单位的近似往返时间：

最小值= 0ms，最大值= 13ms，平均值= 9ms

HTTP协议的验证，如图-5所示：

图-5

步骤六：在R1上查看相关的ACL信息

复制文本弹出窗口

tarena - R1＃show ip access - lists
扩展IP访问列表100
10许可证TCP主机 192.168.1.1 主机 192.168.4.1 当量WWW （5 匹配（ ES））
20拒绝IP主机 192.168.1.1 主机 192.168.4.1 （4 匹配（ ES））
30许可证IP 192.168.1.0 0.0.0.255 主机 192.168.4.1 （8 匹配（ ES））

tarena-R1＃show ip access-lists

扩展IP访问列表100

10允许tcp主机192.168.1.1主机192.168.4.1 eq www（5匹配）

20拒绝ip主机192.168.1.1主机192.168.4.1（4个匹配）

30 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1（8匹配）

3案例3：配置标准命名ACL

3.1问题

使用基本编号的ACL没有实际意义，只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制，如传统的标准ACL用1〜99表示，扩展ACL用100〜199表示。

配置标准命名ACL实现192.168.1.0网段拒绝PC1访问外部网络，其他主机无限制。

3.2方案

命名访问控制列表可以为ACL起一个有意义的名字，通过名称就可以得知该ACL要实现什么功能。同时，因为使用的是名称而不是数字，也就没有了ACL数量上的限制。

网络拓扑如图-6所示：

图-6

3.3步骤

实现此案例需要按照如下步骤进行。

步骤一：将案例1配置标准ACL中的扩展访问控制列表移除，其他配置保留

复制文本弹出窗口

达内- R1 （配置）＃接口 F0 / 0
tarena - R1 （ config - if ） #no ip access - group 1 in
tarena - R1 （ config - if ） #exit
tarena - R1 （ config ） #no access - list 1

tarena-R1（config）#interface f0 / 0

tarena-R1（config-if）#no ip access-group 1 in

达内-R1（配置 - 如果）#exit

tarena-R1（config）#no access-list 1

步骤二：在R2上配置标准的命名访问控制列表

命名访问控制列表的配置总体上和用数字表示的ACL一样，但是更加灵活。

复制文本弹出窗口

tarena - R2 （ config ） #ip access - list standard tedu
tarena - R2 （ config - std - nacl ） #deny host 192.168.1.1
tarena - R2 （ config - std - nacl ） #permit 192.168.1.0 0.0.0.255
tarena - R2 （ config - std - nacl ） #exit
达内- R2 （配置）＃接口 F0 / 0
tarena - R2 （ config - if ） #ip access - group tedu in

tarena-R2（config）#ip access-list standard tedu

tarena-R2（config-std-nacl）#deny host 192.168.1.1

tarena-R2（config-std-nacl）#permit 192.168.1.0 0.0.0.255

达内-R2（配置-STD-NaCl）中#exit

tarena-R2（config）#interface f0 / 0

tarena-R2（config-if）#ip access-group tedu in

步骤三：分别在PC1和PC2上做连通性测试

PC2测试如下所示：

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链路-本地IPv6地址.........： FE80 :: 2E0 ： F7FF ： FED6 ： 54CC
IP地址......................： 192.168.1.2
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.0.1
PC > ping 192.168.4.1
使用32 字节数据对192.168.4.1 进行 Ping操作：
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
Ping统计信息为 192.168.4.1 ：
数据包：已发送= 4 ，已接收= 4 ，已丢失= 0 （0 ％丢失），
近似往返时间以毫秒-秒：
最小值= 0ms ，最大值= 0ms ，平均值= 0ms
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2E0：F7FF：FED6：54CC

IP地址......................：192.168.1.2

子网掩码.....................：255.255.255.0

默认网关.................：192.168.0.1

PC> ping 192.168.4.1

使用32字节数据对192.168.4.1进行Ping操作：

来自192.168.4.1的回复：bytes = 32 time = 0ms TTL = 126

Ping统计信息为192.168.4.1：

数据包：已发送= 4，已接收= 4，已丢失= 0（0％丢失），

以毫秒为单位的近似往返时间：

最小值= 0ms，最大值= 0ms，平均值= 0ms

PC>

PC1测试如下所示：

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链接-本地IPv6地址.........： FE80 :: 2D0 ： BAFF ： FE98 ：9E29
IP地址......................： 192.168.1.1
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.4.1
使用32 字节数据对192.168.4.1 进行 Ping操作：
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
Ping统计信息为 192.168.4.1 ：
数据包：已发送= 4 ，已接收= 0 ，已丢失= 4 （已丢失100 ％），
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2D0：BAFF：FE98：9E29

IP地址......................：192.168.1.1

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.4.1

使用32字节数据对192.168.4.1进行Ping操作：

来自192.168.1.254的回复：目标主机无法访问。

Ping统计信息为192.168.4.1：

数据包：已发送= 4，已接收= 0，已丢失= 4（已丢失100％），

PC>

输出结果表明，PC1的访问是正常的，而PC2到Web Server的访问被R2（IP地址为192.168.1.2）拒绝。

步骤四：在R1上查看相关的ACL信息

复制文本弹出窗口

tarena - R2＃show ip access - lists
标准IP访问列表tedu
10拒绝主机 192.168.1.1 （4 匹配（ ES））
20许可证 192.168.1.0 0.0.0.255 （4 匹配（ ES））

tarena-R2＃show ip access-lists

标准IP访问列表tedu

10拒绝主持人192.168.1.1（4场比赛）

20允许192.168.1.0 0.0.0.255（4场比赛）

输出结果也表明，来自于PC1的数据包被拦截。

4配置扩展命名ACL

4.1问题

配置扩展命名ACL允许PC1访问192.168.4.1的WWW服务但拒绝访问192.168.4.1的其他服务，PC2，PC3无限制。

4.2方案

网络拓扑如图-7所示：

图-7

4.3步骤

实现此案例需要按照如下步骤进行。

步骤一：将2配置扩展ACL中的扩展访问控制列表移除，其他配置保留

复制文本弹出窗口

tarena - R1 （ config ） #no access - list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq www
达内- R1 （配置）＃接口快速以太网0 / 0
tarena - R1 （ config - if ） #no ip access - group 100 in

tarena-R1（config）#no access-list 100允许tcp主机192.168.1.1主机192.168.4.1 eq www

tarena-R1（config）#interface fastEthernet 0/0

tarena-R1（config-if）#no ip access-group 100 in

步骤二：在R1上配置扩展命名访问控制列表

命名访问控制列表的配置总体上和用数字表示的ACL一样，但是更加灵活。

复制文本弹出窗口

tarena - R1 （ config ） #ip access - list extended tarena
tarena - R1 （ config - ext - nacl ） #permit tcp host 192.168.1.1 host 192.168.4.1 eq 80
tarena - R1 （ config - ext - nacl ） #deny ip host 192.168.1.1 host 192.168.4.1
tarena - R1 （ config - ext - nacl ） #permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
达内- R1 （配置）＃接口快速以太网0 / 0
tarena - R2 （ config - if ） #ip access - group tarena in

tarena-R1（config）#ip access-list extended tarena

tarena-R1（config-ext-nacl）#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80

tarena-R1（config-ext-nacl）#deny ip host 192.168.1.1 host 192.168.4.1

tarena-R1（config-ext-nacl）#permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

tarena-R1（config）#interface fastEthernet 0/0

tarena-R2（config-if）#ip access-group tarena in

步骤三：在R1上查看相关的ACL信息

复制文本弹出窗口

tarena - R1＃show ip access - lists
扩展IP访问列表tarena
10允许tcp主机 192.168.1.1 主机 192.168.4.1 eq www
20拒绝ip主机 192.168.1.1 主机 192.168.4.1
30允许ip 192.168.1.0 0.0.0.255 主机 192.168.4.1

tarena-R1＃show ip access-lists

扩展IP访问列表tarena

10允许tcp主机192.168.1.1主机192.168.4.1 eq www

20拒绝ip主机192.168.1.1主机192.168.4.1

30允许ip 192.168.1.0 0.0.0.255主机192.168.4.1

步骤四：在PC1上验证

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链路-本地IPv6地址.........： FE80 :: 2E0 ： F7FF ： FED6 ： 54CC
IP地址......................： 192.168.1.1
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.1.254
PC > ping 192.168.4.1
使用32 字节数据对192.168.4.1 进行 Ping操作：
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
来自192.168.1.254的回复：目标主机无法访问。
Ping统计信息为 192.168.4.1 ：
数据包：已发送= 4 ，已接收= 0 ，已丢失= 4 （已丢失100 ％），
PC >
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2E0：F7FF：FED6：54CC

IP地址......................：192.168.1.1

子网掩码.....................：255.255.255.0

默认网关.................：192.168.1.254

PC> ping 192.168.4.1

使用32字节数据对192.168.4.1进行Ping操作：

来自192.168.1.254的回复：目标主机无法访问。

Ping统计信息为192.168.4.1：

数据包：已发送= 4，已接收= 0，已丢失= 4（已丢失100％），

PC>

HTTP协议的验证如图-8所示：

图-8

从输入结果可以验证，PC1到Web Server的http访问没有受到影响，但不能ping通192.168.4.1。

步骤五：在PC2上进行验证

复制文本弹出窗口

PC > ipconfig
FastEthernet0连接:( 默认端口）
链路-本地IPv6地址.........： FE80 :: 2E0 ： F7FF ： FED6 ： 54CC
IP地址......................： 192.168.1.2
子网掩码.....................： 255.255.255.0
默认网关.................： 192.168.0.1
PC > ping 192.168.4.1
使用32 字节数据对192.168.4.1 进行 Ping操作：
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
来自192.168.4.1的回复： bytes = 32 time = 0ms TTL = 126
Ping统计信息为 192.168.4.1 ：
数据包：已发送= 4 ，已接收= 4 ，已丢失= 0 （0 ％丢失），
近似往返时间以毫秒-秒：
最小值= 0ms ，最大值= 0ms ，平均值= 0ms
PC >

PC> IPCONFIG

FastEthernet0连接:(默认端口）

链路本地IPv6地址.........：FE80 :: 2E0：F7FF：FED6：54CC

IP地址......................：192.168.1.2

子网掩码.....................：255.255.255.0

默认网关.................：192.168.0.1

PC> ping 192.168.4.1

使用32字节数据对192.168.4.1进行Ping操作：

来自192.168.4.1的回复：bytes = 32 time = 0ms TTL = 126

Ping统计信息为192.168.4.1：

数据包：已发送= 4，已接收= 4，已丢失= 0（0％丢失），

以毫秒为单位的近似往返时间：

最小值= 0ms，最大值= 0ms，平均值= 0ms

PC>

HTTP协议的验证，如图-9所示：

图-9

配置标准ACL；配置扩展ACL；配置标准命名ACL；配置扩展命名ACL

猜你喜欢