CISCO路由器的ACL的各项设置

基础知识：用于网络流量过滤
ACL：access control list，访问控制列表
访问控制：动作：允许（permit）、拒绝（deny）
匹配流量：Qos、VPN感兴趣流量匹配，
用作NAT的转换（私有网络→公网，多对一转换）
ACL种类：

GW(config)#access-list ?
    <1-99>     IP standard access list
      <100-199>  IP extended access list

1. 标准访问控制列表：（1-99）只检测源IP
2. 扩展访问控制列表：（100-199）检测源、目的IP地址、源端口、目的端口（TCP/UDP）
3. 基于MAC的ACL：匹配MAC物理地址
4. 基于时间ACL：匹配时间戳

配置ACL准备：
确认流量走向，确定应用的接口以及接口方向
确认ACL类型：（原则上标准ACL尽可能接近目的网络；扩展ACL尽可能呢接近源网络）
网络拓扑图：

IP分配：(省略截图)记得进行配置PC的网关

PC0：192.168.2.1　PC1：192.168.2.2 　PC3：192.168.1.1 　Server：192.168.100.1
R1：g0/0:192.168.2.254 　g0/1:192.168.1.254 　Se0/1/0:192.168.3.254
GW（R2）：g0/0:192.168.100.254 　Se0/1/0:192.168.3.1

R1的OSPF路由配置

R1(config)#router ospf 100
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
R1(config-router)#network 192.168.3.0 0.0.0.255 area 0

GW的OSPF配置：

GW(config)#router ospf 101
GW(config-router)#router-id 2.2.2.2
GW(config-router)#network 192.168.3.0 0.0.0.255 area 0
GW(config-router)#network 192.168.100.0 0.0.0.255 area 0

测试：PC0 ping Server（其他截图省略），成功进行全网互连

确保PC0、PC1、PC2能够正常访问Server0的WEB服务，只截PC1,其他结果一样

Gateway配置Telnet远程会话，确保PC0、PC1、PC2能够远程Telnet管理设备，设置密码如下：
Telnet密码：telnet
Console密码：console
enable密码：cisco
GW配置：

GW(config)#line vty 0 4
GW(config-line)#password telnet
GW(config-line)#login 
GW(config-line)#exit
GW(config)#enable password cisco

测试结果，只截图PC3，其他电脑结果一样

需求一：
只有PC2属于IT部门，限制只有PC2所属网段才能Telnet访问Gateway网关
我使用标准访问控制列表，在line vty上应用：

GW(config)#access-list 10 permit 192.168.1.0 0.0.0.255
GW(config)#line vty  0 4
GW(config-line)#access-class 10 in
GW(config-line)#exit

验证：
PC0：

PC3：

需求二：禁止PC0、PC1 ping通Server0
扩展访问控制列表，在R1的G0/0的端口应用

R1(config)#access-list 100 deny icmp 192.168.2.0 0.0.0.255 host 192.168.100.1
R1(config)#access-list 100 permit ip any any
R1(config-if)#int g0/0
R1(config-if)#ip access-group 100 in

验证：
PC0：

PC3：

需求三：仅允许PC0、PC1部门访问Server0的Web服务
扩展访问控制列表，在R1的Se0/1/0应用

R1(config)#access-list 120 permit tcp 192.168.2.0 0.0.0.255 host 192.168.100.1 eq 80
R1(config)#access-list 120 deny tcp any host 192.168.1.100 eq www
R1(config)#int s0/1/0
R1(config-if)#ip access-group 120 out

验证：
PC3：

PC1：