ACL标准访问控制列表的配置实例

 

ACL的工作流程

1、当一个数据报进入一个端口,路由器检查这个数据报是否可路由。

如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。如果有,根据ACL中的条件指令,检查这个数据报。

如果数据报是被允许的,就查询路由表,决定数据报的目标端口。

2、路由器检查目标端口是否存在ACL控制流出的数据报

不存在,这个数据报就直接发送到目标端口。

如果存在,就再根据ACL进行取舍

假如你是某公司的网络管理员,为了安全起见领导要求:经理可以访问财务部,但是市场部不可以访问财务部。

ACL的配置:

1、          创建一个标准访问控制列表

Router(config)# access-list access_list_number {permit|deny} {test_conditions}

2、将访问控制绑定到接口上

Router(config-if)# {protocol} access-group access_list_number {in|out}

3、关闭访问控制列表

Router(config)# no access-list access_list_number

拓扑图:

操作步骤:
Router0上操作

 

Router>en
Router#conf t
Router(config)#hostname r0
r0(config)#in f0/0
r0(config-if)#ip add 192.168.1.1 255.255.255.0
r0(config-if)#no shut
r0(config-if)#
r0(config-if)#in f0/1
r0(config-if)#ip add 192.168.2.1 255.255.255.0
r0(config-if)#no shut
r0(config-if)#

 

r0(config-if)#in s1/0
r0(config-if)#ip add 192.168.3.1 255.255.255.0
r0(config-if)#clock rate 64000
r0(config-if)#no shut

 

 

Router1上操作
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#in f0/0
Router(config-if)#ip add 192.168.4.1 255.255.255.0
Router(config-if)#no shut

 

Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

 

Router(config-if)#in s1/1
Router(config-if)#ip add 192.168.3.2 255.255.255.0
Router(config-if)#no shut

 

Router(config-if)#
%LINK-5-CHANGED: Interface Serial1/1, changed state to up
   
Router(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.3.1              //配置缺省路由
Router(config)#

 

返回Router0上继续操作:
r0(config-if)#
r0(config-if)#ip route 192.168.4.0 255.255.255.0 192.168.3.2        //添加静态路由
配置好以后测验。三台主机之间可相互通信!
r0(config)#ip access-list ?
  extended  Extended Access List                //扩展访问控制列表
  standard  Standard Access List                    //标准访问控制列表
r0(config)#ip access-list standard ?
  <1-99>  Standard IP access-list number
  WORD    Access-list name
r0(config)#ip access-list standard  ahxh            //命名的方式
r0(config-std-nacl)#permit 192.168.1.0 0.0.0.255        //允许192.168.1.0网段的报文通过
0.0.0.255用的是通配符掩码。和子网掩码一样,以点分十进制来表示。通过与IP地址执行比较操作来标识网络。不同的是,通配符掩码化为二进制以后,其中的“1”表示在比较中可以被忽略,地址为上的“0”则表示相应的地址位必须被检查

r0(config-std-nacl)#deny 192.168.2.0 0.0.0.255      //丢弃192.168.2.0网段的报文
r0(config-std-nacl)#end

 

r0#[1]
r0#conf t
r0(config)#in s1/0                          //应用的端口上
r0(config-if)#ip access-group ahxh out          //出栈应用
r0(config-if)#

 


[1]