使用GNS3进行ACL配置

一、基本网络配置
1、R1路由器的基本网络配置
     enable
     configure terminal
     interface f0/0
     ip address 202.100.10.1 255.255.255.0 
     no shutdown

    exit
    ip route 0.0.0.0 0.0.0.0 202.100.10.2
    exit 

    write

2、R2路由器的基本网络配置
     enable
     configure terminal
     interface f0/0
     ip address 202.100.10.2 255.255.255.0 
     no shutdown

     interface f1/0
     ip address 202.100.20.1 255.255.255.0 
     no shutdown

     exit
     exit

     write

3、R3路由器的基本网络配置
     enable
     configure terminal
     interface f0/0
     ip address 202.100.20.2 255.255.255.0 
     no shutdown

     exit
     ip route 0.0.0.0 0.0.0.0 202.100.20.1

     line vty 0  4
     pass    123
     login
     exit
     enable  pass  abc
     exit

     write

4、连通性测试：
R1#ping 202.100.20.2(能ping通R3路由器的f0/0接口)

R1#telnet 202.100.20.2(能远程登录R3路由器)（第一个Password为123，第二个Password为abc)

二、标准ACL配置：（R3路由器上的全局模式下配置）

1、标准ACL
    标准ACL的编号为1-99
    标准ACL只能对IP报文的源地址做限制

    permit：允许IP报文通过
    deny：拒绝报文通过（丢弃）

    通配符掩码：ACL条目中的IP地址后面跟的时：通配符掩码，不是子网掩码

    通配符掩码的计算：（255.255.255.255）减（子网掩码）
        例如：子网掩码为：255.255.255.0，通配符掩码为：0.0.0.255

    通配符掩码的含义：
        二进制0：表示检查
        二进制1：表示忽略（不检查）

2、标准ACL语法：

    access-list   编号（1-99）  permit|deny     源IP地址  通配符掩码
    
    特殊关键字：
        host ：表示单个主机的IP地址
               （例如：host 192.168.10.1，也可表示为：192.168.10.1 0.0.0.0）

        any：  表示任意IP地址，即：0.0.0.0 255.255.255.255    

3、标准ACL配置（R3路由器上的全局模式下配置）
 configure terminal
 access-list 1 deny 202.100.10.1 0.0.0.0（禁止R1路由器访问R3）
 或者：（access-list 1 deny host 202.100.10.1）

 access-list 1 permit any（允许任意主机访问R3路由器）
 或者：（access-list 1 permit 0.0.0.0 255.255.255.255）

4、在接口上应用ACL
  interface f0/0
  ip access-group 1 in

 方向：
    in （IP报文从路由器接口进入时，应用ACL）
    out（IP报文从路由器接口出去时，应用ACL）

5、连通性测试：
R1#ping 202.100.20.2（失败）

R2#ping 202.100.20.2（成功）

三、扩展ACL配置（R3路由器上的全局模式下配置）
1、扩展ACL语法：
    access-list 扩展ACL编号（100-199） permit|deny 协议名（IP、ICMP、TCP、UDP） 源IP地址 通配符掩码 目的IP地址 通配符掩码   eq  服务名（或端口号）

2、扩展ACL
扩展ACL的编号为100-199
扩展ACL可以限制：
    IP报文的源地址、目标地址
    协议(IP、ICMP、TCP、UDP)
    源端口（TCP、UDP）
    目标端口（TCP、UDP）

3、扩展ACL配置（R3路由器上的全局模式下配置）
     exit 
     access-list 100 deny tcp host 202.100.10.1 host 202.100.20.2 eq telnet（禁止R1以Telnet方式访问R3）
     或者：（access-list 100 deny tcp 202.100.10.1 0.0.0.0 202.100.20.2 0.0.0.0 eq 23）

     interface f0/0
     ip access-group 100 in

    exit
    exit

    show access-list
    show access-list 1
    show access-list 100

4、连通性测试

R1#telnet  202.100.20.2（远程登录R3路由器失败）

R2#telnet 202.100.20.2（远程登录R3路由器成功）

5、扩展ACL配置（R3路由器上的全局模式下配置）

     R3(config)#no access-list 1（在进行下面的操作之前，要先将标准ACL配置 "禁止R1路由器访问R3" 的命令删除掉）

     access-list 100 permit tcp any any

     interface f0/0
     ip access-group 100 in

6、连通性测试

R1#telnet  202.100.20.2（远程登录R3路由器成功）

R2#telnet 202.100.20.2（远程登录R3路由器成功）