模拟网络环境如图:
网络中 ACL访问控制列表_第1张图片
 
网络环境如上图:
第一步 : 我们要让全网互通..............实现办法好多,,可以用静态路由也可以用动态路由。。
第二步: 我们就要在R1 上做一些规则来限制一些流量能不能通过。。。
   ACL 共分为两种: 一种是标准  一种是扩展
                  1:标准的列表号在1--99之间 而且不支持协议的限制    还只看源IP地址不看目的地址
                   2:扩展的列表号在100--199之间  还支持协议 如: TCP UDP 等 而且不仅看源还要看目地
 
   访问控制列表一般分两步: 第一  定义列表  第二 把列表应该于接口
 
访问控制列表的格式:access-list  列表号 {permit  |  deny}  源IP
 
  接口又分为入站接口(in) 和出站接口(out) 
如上图 如果在R1上做 限制R1下面的网络  就要将规则应用到出站接口上
 
例如: 不让IP 192.168.1.20  访问外面的网络
       access-list  10  deny host 192.168.1.20   //定义访问列
       access-list  10  permit host 192.168.1.10 // 允许1.10这个IP出去
       access-list  10  deny  192.168.1.0  0.0.0.7  //这是拒绝 1.1--1.7这个网段的IP
        进接口F0/1  ip  access-group 10 out    //这就是把上面的列表应该在接口F0/1上也就是出站接口  
 
     ACL 匹配顺序是 : 从上向下找 如果匹配第一条 就不在向下查找。。如果不匹配则向下查找,,如果最后一条也不能匹配,,就安默认规则走 丢弃数据包
     所以一般把小范围的写在前面:
  还有就是 不能单独删除某一条  删一条就等于都删除了。。
 
如果基于协议来控制的话 标准的控制列表就不能做到了 这时候就是扩展控制列表出来的时候啦!
    
 扩展列表的配置格式:
access 列表号   {permit  |  deny}     protocol  { 源IP  目的IP }  {operator }
 
   例如:允许网络1.0/24的网络 访问网络2.0/24 的IP流量通过,,而拒绝其他任何流量。。ACL 命令为:
 access-list 101 permit  ip 192.168.1.0  0.0.0. 255 192.168.2.0  0.0.0.255 //允许的
  access-list 101 deny ip any any  //拒绝所以网络
在把列表应该在F0/1上  ip  access-group 101 out
 
 在例如: 拒绝网络1.0/24 访问FTP服务器192.168.4.10/24的流量通过,,而允许其他的任何流量 ACL命令如下:
access-list 101 deny tcp 192.168.1.0  0.0.0.255 host 192.168.4.2 eq 21
access-list 101 permit ip any any
在把列表应用在FO/0上  ip access-group 101 out  in
 
 注意: 每个方向上只能有一个ACL 也就是每个接口最有两个ACL 一个入站方向 一个出站方向:
 
就上面的图来说 现在有一个需求::
 只允许192.168.1.10 telnet 登录到R3上。。。同时也需要能正常通信,,其他主机都能正常通信。。
   请写出ACL访问控制列表:并列表应该应用在那个接口上!