实验访问控制：标准ACL及应用 实验目的 了解标准ACL的概念和原理 掌握ACL配置方法。 了解ACL的应用 原理概述 在网络管理中，需要允许/禁止访问一些站点，也要控制某些外部节点的连接，或者要限制特定的网络流量，这些可以通过设置路由器/防火墙/三层交换机的访问控制列表（ACL）来实现。 ACL用于控制端口上进出的数据包，适用于所有被路由的协议。ACL的定义是基于协议的，每种协议需要定义一种ACL。端口在每收到一个数据包以后，根据端口的ACL表逐条检查。对于允许发送ACL，如果在表中有一条规则匹配的话就立即发送，而不用检查其他规则。如果所有的规则都不匹配，则丢弃该数据包。路由器内部产生的数据包不受ACL影响。 ACL分两种，标准ACL和扩展ACL。标准ACL只检查数据包的源地址，而扩展的ACL更灵活，可以检查数据包的源、目的地址以及协议、端口等。在配置中，标准ACL和扩展ACL是通过ACL编号区分的，1-99表示标准ACL,而100-199为扩展ACL。 标准ACL格式如下： #access-listaccess-list-number[permit|deny]source[source-mask] 扩展ACL的完全命令格式如下： #access-listaccess-list-number[permit|deny][protocol|protocol-number]sourcesource-wildcard[source-port]destinationdestination-wildcard[destination-port][established] ACL配置分两步，首先在全局模式下利用access-list命令创建ACL,然后在接口配置模式下利用access-group命令应用ACL到接口上。 实验目的 配置标准ACL,使特定子网中的某一机器才能访问其他网络。 测试ACL规则。 配置扩展ACL,拒绝一个子网内所有机器ping另一子网内机器。 实际应用测试。 实验环境 cisco路由器一台，交换机两台，主机四台，控制台线缆及双绞线若干。网络拓扑结构：R1 fa0/0:192.168.1.1/24fa0/1:192.168.2.1/24 s1s2 192.168.1.2/24192.168.1.3/24192.168.2.2/24192.168.2.2/24 实验步骤 连接网络 主机及路由器地址配置 配置标准ACL,使子网1（192.168.1.0）中只有主机H1才可以访问子网2（192.168.2.0） configureterminal access-list1permithost192.168.1.2 interfacefa0/0 ipaccess-group1out 测试：H1pingH3、H4，H2pingH3、H4 查看标准ACL的统计信息：showaccess-list1 取消:noipaccess-group1out 案例应用 某一个企业有三个部门如图.要求实现经理部可以访问财务部,其他部门不能访问财务部. Router>EN Router#CONFT Enterconfigurationcommands,oneperline.EndwithCNTL/Z. Router(config)#hostr0 r0(config)#intfa0/0 r0(config-if)#ipadd192.168.0.1255.255.255.0 r0(config-if)#noshut r0(config-if)#exit r0(config)#intfa1/0 r0(config-if)#ipadd192.168.1.1255.255.255.0 r0(config-if)#noshut r0(config-if)#exit r0(config)#ints2/0 r0(config-if)#ipadd192.168.2.1255.255.255.0 r0(config-if)#clockrate56000 r0(config-if)#noshut r0(config-if)# r0(config-if)# r0(config-if)#exit r0(config)#iproute192.168.3.0255.255.255.0192.168.2.2 r0(config)#ipacc r0(config)#ipaccess-lists按TAB键 r0(config)#ipaccess-liststandardxiehe r0(config-std-nacl)#permit192.168.0.00.0.0.255 r0(config-std-nacl)#exit r0(config)#in