ACL访问控制列表配置实例 拓扑结构： Ip地址分配：如图，均为C类192.168.X.X 开启各端口，填写ip地址。 在R1,R3,R5上配置DHCP使其可以为网段内主机分配ip地址，具体配置如下： Router(config)#ipdhcppooljiang/定义dhcp池，名为jiang Router(dhcp-config)#network192.168.0.0255.255.255.0/分配的地址段 Router(dhcp-config)#default-router192.168.0.1/默认网关 Router(dhcp-config)#dns-server202.102.192.68/默认dns Router(dhcp-config)#end 注意：R3上分配的是3.0网段，R5上分配的是6.0网段。 5.在路由器上配置路由协议，是网络互通。 Router(config)#routerrip/采用rip协议 Router(config-router)#net192.168.0.0/宣告直连网段 Router(config-router)#net192.168.1.0/宣告直连网段 Router(config-router)#end 其它路由类似，在此不做赘述。配置完毕后使用ping测试网络是否通畅。 重点： 配置acl使192.168.0.0网段不能telnet到R1。 具体步骤[在R1上配置]： Router(config)#access-list100denytcp192.168.0.00.0.0.255host192.168.0.1eq23 Router(config)#access-list100denytcp192.168.0.00.0.0.255host192.168.1.1eq23 /上面两步定义了扩展的acl，标号为100，拒绝了0网段的主机远程登录到R1，telnet使用的是tcp协议的23号端口。由于有两个端口接到该路由器，因此该在两个端口上都配置。 Router(config)#access-list100permitipanyany /由于acl默认了一条拒绝所有的ip策略，所以上一条的意思是允许其它ip数据流通过。 Router(config)#intf0/0 Router(config-if)#ipaccess-group100in /进入端口，绑定策略。注意in和out的区别此处应该使用in。 Router(config-if)#end 结束。 测试：A和B主机无法telnet到R1，C,D,E都可以。配置成功。 配置acl使C主机无法访问F的web服务器功能。 具体步骤[在R3上配置]： Router(config)#access-list101denytcphost192.168.3.2host192.168.6.3eq80 Router(config)#access-list101permitipanyany Router(config)#intf0/0 Router(config-if)#ipaccess-group101in Router(config-if)#end 测试：C主机无法访问F的web功能，D主机可以。配置成功。 配置acl使本网段以外的主机不能ping服务器F。 具体步骤[在R5上配置]： Router(config)#access-list102denyicmpanyhost192.168.6.3 Router(config)#access-list102permitipanyany Router(config)#intf0/0 Router(config-if)#ipaccess-group102out Router(config)#end /此处使用到了out即：所有从R5上f0/0接口出来的icmp数据包被丢弃。 配置acl使3.0网段不能访问0网段。 具体步骤[在R1上配置]： Router(config)#access-list1deny192.168.3.00.0.0.255 Router(config)#access-list1permitany Router(config)#intf0/0 Router(config-if)#ipaccess-group1out Router(config-if)#end /这个一个标准的访问控制列表，只能控制三层ip数据包，约束没有前面的扩展的访问控制列表严格。 大概就这样了，其中有几点值得注意： 标号，标准的acl是从1~99.扩展的从100~199. 在配置时，应将最为严格的语句放在最前面，因为执行顺序是从上到下，否则无法实现预期的功能。 配置标准的acl时，应在最靠近目标的