标准ACL配置举例（某公司经理部、财务部和销售部）

 

某公司经理部、财务部和销售部分别属于3个不同的网段，通过路由器传递信息。要求：

销售部PC2不能访问财务部PC3；

经理部PC1可以访问财务部PC3。

第一步：R1接口参数和OSPF协议配置

Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shut

R1(config-if)#int f0/1
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no shut

R1(config-if)#int s0/0
R1(config-if)#ip add 10.1.1.1 255.0.0.0
R1(config-if)#clock rate 64000
R1(config-if)#no shut

R1(config)#router ospf 100
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
R1(config-router)#network 10.1.1.0 0.0.0.255 area 0

第二步：R2接口参数和OSPF协议配置

Router>en
Router#conf t
Router(config)#hostname R2

R2(config)#int f0/1
R2(config-if)#ip add 192.168.3.1 255.255.255.0
R2(config-if)#no shut


R2(config-if)#int s0/0
R2(config-if)#ip add 10.1.1.2 255.0.0.0
R2(config-if)#no shut

R2(config)#router ospf 100
R2(config-router)#network 192.168.3.0 0.0.0.255 area 0
R2(config-router)#network 10.1.1.0 0.0.0.255 area 0

第三步：查看R1和R2路由表

R1#show ip route

C    10.0.0.0/8 is directly connected, Serial0/0

C    192.168.1.0/24 is directly connected, F0/0

C    192.168.2.0/24 is directly connected, F0/1

O    192.168.3.0/24 [110/65] via 10.1.1.2, 00:03:47, S0/0

R2#show ip route

C    10.0.0.0/8 is directly connected, Serial0/0

O    192.168.1.0/24 [110/65] via 10.1.1.1, 00:05:07, S0/0

O    192.168.2.0/24 [110/65] via 10.1.1.1, 00:05:07, S0/0

C    192.168.3.0/24 is directly connected, F0/1

第四步：测试网络连通性

PC1>ping 192.168.2.22      //PC1pingPC2

Reply from 192.168.2.22: bytes=32 time=0ms TTL=127

 

PC1>ping 192.168.3.33      //PC1pingPC3

Reply from 192.168.3.33: bytes=32 time=2ms TTL=126

 

PC2>ping 192.168.3.33      //PC2pingPC3

Reply from 192.168.3.33: bytes=32 time=4ms TTL=126

 

结论：配置ACL前，全网连通。

第五步：在R2上配置ACL

R2(config)#access-list 1 deny 192.168.2.0 0.0.0.255
R2(config)#access-list 1 permit any

R2(config)#int f0/1
R2(config-if)#ip access-group 1 out

第六步：再次测试连通性

•此时在R2上已经配置好了access-list 1，拒绝PC2所在网段主机访问PC3，运行其他网段主机访问PC3。

PC1>ping 192.168.3.33         // PC1能ping通PC3

Reply from 192.168.3.33: bytes=32 time=1ms TTL=126

PC2>ping 192.168.3.33         // PC2ping不通PC3

Reply from 10.1.1.2: Destination host unreachable.

第七步：命名ACL的配置

R2# show ip access-list    //查看已配置的ACL

Standard IP access list 1

    deny 192.168.2.0 0.0.0.255

    permit any

首先在R2上删除原来配置的access-list 1：

R2(config)#no access-list 1

R2# show ip access-list

    //此时没有显示内容

重新配置命名ACL：

R2(config)#ip access-list standard wdg

R2(config-std-nacl)#permit 192.168.1.0 0.0.0.255

R2(config-std-nacl)#deny 192.168.2.0 0.0.0.255

R2(config-std-nacl)#peimit any

R2(config-std-nacl)#exit

R2(config)#int f0/1

R2(config-if)#ip access-group wdg  out

第八步：查看命名ACL

R2# show ip access-lists

Standard IP access list wdg

    10 permit 192.168.1.0 0.0.0.255

    20 deny 192.168.2.0 0.0.0.255

    Permit any

第九步：测试网络连通性

PC1>ping 192.168.3.33

Reply from 192.168.3.33: bytes=32 time=4ms TTL=126

PC2>ping 192.168.3.33

Reply from 10.1.1.2: Destination host unreachable.