ACL控制访问列表――标准访问控制列表配置实例

ACL 标准访问控制列表的配置实例

 

ACL 的工作流程

1 、当一个数据报进入一个端口，路由器检查这个数据报是否可路由。

如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。如果有，根据ACL中的条件指令，检查这个数据报。

如果数据报是被允许的，就查询路由表，决定数据报的目标端口。

2 、路由器检查目标端口是否存在ACL控制流出的数据报

不存在，这个数据报就直接发送到目标端口。

如果存在，就再根据ACL进行取舍

假如你是某公司的网络管理员，为了安全起见领导要求：经理可以访问财务部，但是市场部不可以访问财务部。

ACL 的配置：

1、          创建一个标准访问控制列表

Router(config)# access-list access_list_number {permit|deny} {test_conditions}

2 、将访问控制绑定到接口上

Router(config-if)# {protocol} access-group access_list_number {in|out}

3 、关闭访问控制列表

Router(config)# no access-list access_list_number

拓扑图：

操作步骤：

Router0上操作

 

Router>en

Router#conf t

Router(config)#hostname r0

r0(config)#in f0/0

r0(config-if)#ip add 192.168.1.1 255.255.255.0

r0(config-if)#no shut

r0(config-if)#

r0(config-if)#in f0/1

r0(config-if)#ip add 192.168.2.1 255.255.255.0

r0(config-if)#no shut

r0(config-if)#

 

r0(config-if)#in s1/0

r0(config-if)#ip add 192.168.3.1 255.255.255.0

r0(config-if)#clock rate 64000

r0(config-if)#no shut

 

 

Router1上操作

Router>en

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#in f0/0

Router(config-if)#ip add 192.168.4.1 255.255.255.0

Router(config-if)#no shut

 

Router(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

 

Router(config-if)#in s1/1

Router(config-if)#ip add 192.168.3.2 255.255.255.0

Router(config-if)#no shut

 

Router(config-if)#

%LINK-5-CHANGED: Interface Serial1/1, changed state to up

   

Router(config-if)#ip route 0.0.0 .0 0.0.0.0 192.168.3.1              //配置缺省路由

Router(config)#

 

返回 Router0上继续操作：

r0(config-if)#

r0(config-if)#ip route 192.168.4.0 255.255.255.0 192.168.3.2        //添加静态路由

配置好以后测验。三台主机之间可相互通信！

r0(config)#ip access-list ?

  extended  Extended Access List                //扩展访问控制列表

  standard  Standard Access List                    //标准访问控制列表

r0(config)#ip access-list standard ?

  <1-99>  Standard IP access-list number

  WORD    Access-list name

r0(config)#ip access-list standard  ahxh            //命名的方式

r0(config-std-nacl)#permit 192.168.1.0 0.0.0 .255        //允许 192.168.1.0网段的报文通过

0.0.0 .255 用的是通配符掩码。和子网掩码一样，以点分十进制来表示。通过与IP地址执行比较操作来标识网络。不同的是，通配符掩码化为二进制以后，其中的“ 1” 表示在比较中可以被忽略，地址为上的“ 0” 则表示相应的地址位必须被检查

r0(config-std-nacl)#deny 192.168.2.0 0.0.0 .255      //丢弃 192.168.2.0网段的报文

r0(config-std-nacl)#end

 

r0#[1]

r0#conf t

r0(config)#in s1/0                          //应用的端口上

r0(config-if)#ip access-group ahxh out          //出栈应用

r0(config-if)#

 

[1]