网络基础之访问控制列表——ACL配置

实验拓扑图：

  R1--f0/0-----f0/0--R2--f1/0(.1)-----f0/0--R3

IP地址规划：

    R1：f0/0-------202.100.10.1/24

    R2：f0/0-------202.100.10.2/24;  f1/0-------202.100.20.1/24

    R3：f0/0-------202.100.20.2/24

一、基本网络配置

1、R1路由器的基本网络配置

enable

configure terminal

interface f0/0

ip address 202.100.10.1 255.255.255.0

no shutdown

exit

 

 ip route 0.0.0.0 0.0.0.0 202.100.10.2

exit

write

 

2、R2路由器的基本网络配置

enable

configure terminal

interface f0/0

ip address 202.100.10.2 255.255.255.0

no shutdown

interface f1/0

ip address 202.100.20.1 255.255.255.0

no shutdown

exit

exit

write

 

3、R3路由器的基本网络配置

enable

configure terminal

interface f0/0

ip address 202.100.20.2 255.255.255.0

no shutdown

exit

ip route 0.0.0.0 0.0.0.0 202.100.20.1

line vty 0  

pass 123

login

exit

enable  pass  abc

exit

write

 

4、连通性测试：

R1#ping 202.100.20.2(能ping通R3路由器的f0/0接口)

R1#telnet 202.100.20.2(能远程登录R3路由器)

二、标准ACL配置（R3路由器上的全局模式下配置）：

1、标准ACL

标准ACL的编号为1-99

标准ACL只能对IP报文的源地址做限制

permit：允许IP报文通过

deny：拒绝报文通过（丢弃）

通配符掩码：ACL条目中的IP地址后面跟的时：通配符掩码，不是子网掩码

通配符掩码的计算：（255.255.255.255）减（子网掩码）

例如：子网掩码为：255.255.255.0，通配符掩码为：0.0.0.255

通配符掩码的含义：

二进制0：表示检查

二进制1：表示忽略（不检查）

2、标准ACL语法：

access-list   编号（1-99）  permit|deny  源IP地址  通配符掩码

特殊关键字：

host ：表示单个主机的IP地址

       （例如：host 192.168.10.1，也可表示为：192.168.10.1 0.0.0.0）

any：  表示任意IP地址，即：0.0.0.0 255.255.255.255

3、标准ACL配置（R3路由器上的全局模式下配置）

configure terminal

 access-list 1 deny 202.100.10.1 0.0.0.0（禁止R1路由器访问R3）

 或者：（access-list 1 deny host 202.100.10.1）

 access-list 1 permit any（允许任意主机访问R3路由器）

 或者：（access-list 1 permit 0.0.0.0 255.255.255.255）

4、在接口上应用ACL

 interface f0/0

  ip access-group 1 in

 方向：

in （IP报文从路由器接口进入时，应用ACL）

out（IP报文从路由器接口出去时，应用ACL）

5、连通性测试：

R1#ping 202.100.20.2（失败）

R2#ping 202.100.20.2（成功）

三、扩展ACL配置（R3路由器上的全局模式下配置）

1、扩展ACL语法：

access-list 扩展ACL编号（100-199） permit|deny 协议名（IP、ICMP、TCP、UDP） 源IP地址 通配符掩码 目的IP地址 通配符掩码   eq  服务名（或端口号）

2、扩展ACL

扩展ACL的编号为100-199

扩展ACL可以限制：

IP报文的源地址、目标地址

协议(IP、ICMP、TCP、UDP)

源端口（TCP、UDP）

目标端口（TCP、UDP） 

3、扩展ACL配置

exit

access-list 100 deny tcp host 202.100.10.1 host 202.100.20.2 eq telnet（禁止R1以Telnet方式访问R3）

 或者：（access-list 100 deny tcp 202.100.10.1 0.0.0.0 202.100.20.2 0.0.0.0 eq 23）

access-list 100 permit tcp any any

interface f1/0

ip access-group 100 in

exit

exit

show access-list

show access-list 1

show access-list 100

4、连通性测试

R3(config)#no access-list 1

R1#telnet  202.100.20.2（远程登录R3路由器失败）

R2#telnet 202.100.20.2（远程登录R3路由器成功）