ACL访问控制列表——思科模拟器学习

一、问题

你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问.

二、技术原理

访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，
也是网络安全策略的一个组成部分，它是一种基于包过滤的访问控制技术，可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。
标准IP协议的ACL取值范围：1-99；　　扩展IP协议的ACL取值范围：100-199。
标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。

三、操作设备

PC 3台；Router-PT 2台；直连线；交叉线

四、解决代码

如下图所示：

首先给每一台PC1和PC2配置IP和Submask

PC1
IP:172.16.1.5		
Submask: 255.255.0.0
Gateway: 172.16.1.1
PC2
IP: 172.16.2.8			
Submask: 255.255.0.0
Gateway: 172.16.2.1
PC3
IP:	172.16.4.2		
Submask: 255.255.0.0
Gateway: 172.16.4.1

第1步:Router1基本配置

xiaoyuan_r1(config)#interface fa0/0
xiaoyuan_r1(config-if)#ip address 172.16.1.1 255.255.255.0
xiaoyuan_r1(config-if)#no shut
xiaoyuan_r1(config-if)#exit
xiaoyuan_r1(config)#interface fa0/1
xiaoyuan_r1(config-if)#ip add
xiaoyuan_r1(config-if)#ip address 172.16.2.1 255.255.255.0
xiaoyuan_r1(config-if)#no shut
xiaoyuan_r1(config-if)#exit
xiaoyuan_r1(config)#interface se0/0/0
xiaoyuan_r1(config-if)#ip add
xiaoyuan_r1(config-if)#ip address 172.16.3.1 255.255.255.0
xiaoyuan_r1(config-if)#no shut

第2步：Router2基本配置

xiaoyuan_r2(config)#interface se0/0/0
xiaoyuan_r2(config-if)#ip add
xiaoyuan_r2(config-if)#ip address 172.16.3.2 255.255.255.0
xiaoyuan_r2(config-if)#no shut
xiaoyuan_r2(config)#inter fa0/0
xiaoyuan_r2(config-if)#ip address 172.16.4.1 255.255.255.0
xiaoyuan_r2(config-if)#no shut

第3步：配置静态路由

xiaoyuan_r1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
xiaoyuan_r1(config)#end
xiaoyuan_r2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1  意味着到任何网络下一跳转发给网关地址
xiaoyuan_r2(config)#end

R1(config)#ip route 目标网段 子网掩码 自己网络的出口网关（即下一跳地址），记住一定要双向设置，有来有回，所以还要在R2上设置。

第4步: 配置标准IP访问控制列表。

xiaoyuan_r1(config)#access-list 1 permit 172.16.1.0 0.0.0.255
xiaoyuan_r1(config)#access-list 1 deny 172.16.2.0 0.0.0.255

第5步: 把访问控制列表在接口下应用。

xiaoyuan_r1(config)#interface s0/0/0
xiaoyuan_r1(config-if)#ip access-group 1 out
xiaoyuan_r1(config-if)#end

五、结果

经过了前面的漫长的敲代码，终于来到了最后，如果对面有帮助请多多支持哦
最后验证PC1 与PC2 能够通信