ACL应用实例

实例

1、VLAN1主机192.168.1.240可以访问所有网段；

2、VLAN1其余主机可以访问除VLAN2、VLAN3及VLAN4外所有网段。

VLAN2需实现以下效果：

1、VLAN2网段只可访问VLAN3中的192.168.3.126主机，但不能访问VLAN3中其它主机；

2、VLAN2网段可以访问除VLAN1、VLAN3及VLAN4外所有网段。

VLAN3需实现以下效果：

1、VLAN3主机192.168.3.126可以访问所有网段；

2、VLAN3其余主机不能访问所有网段。

VLAN4需实现以下效果：

1、VLAN4网段只可访问VLAN2网段。

access-list 101 permit ip host 192.168.1.240 any

access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

access-list 101 permit ip any any

access-list 102 permit ip 192.168.2.0 0.0.0.255 host 192.168.3.126

access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 102 permit ip any any

access-list 103 permit ip host 192.168.3.126 any

access-list 103 deny ip any any

access-list 104 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 104 deny ip any any

Switch(config)#interface port-channel 2

Switch(config)#interface range fastEthernet 0/23 –24

Switch(config-if-range)#channel-group 2 mode desirable

interface Vlan1

ip address 192.168.1.1 255.255.255.0

ip access-group 101 in

!

interface Vlan2

ip address 192.168.2.1 255.255.255.0

ip access-group 102 in

!

interface Vlan3

ip address 192.168.3.1 255.255.255.0

ip access-group 103 in

!

interface Vlan4

ip address 192.168.4.1 255.255.255.0

ip access-group 104 in

!

访问控制列表(ACL)总结

访问控制列表（ACL）总结 一、什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下：access-list ACL号permit|deny host ip地址 例：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。 标准访问控制列表实例一：

标准ACL配置与调试

实验5 标准ACL配置与调试 1．实验目标 在这个实验中，我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。 2．实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3．实验要求 根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下： ⑴路由器R1： s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1： IP：10.1.1.2/8 网关：10.1.1.1 ⑶路由器R2： s0/0:192.168.100.2/24

fa0/0:172.16.1.1/16 ⑷计算机PC2： IP：172.16.1.2/16 网关：172.16.1.１ 4．实验步骤 在开始本实验之前，建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。 ⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。 ⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下： ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问：

ACL访问控制列表配置要点

ACL的使用 ACL的处理过程： 1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit） 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny） 要点： 1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。） 允许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255） 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许172.17.31.222访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

ACL配置实验报告

南京信息工程大学实验（实习）报告 实验（实习）名称ACL的配置实验（实习）日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 （1）了解路由器的ACL配置与使用过程，会运用标准、扩展ACL建立基于路由器的防火墙，保护网络边界。 （2）了解路由器的NA T配置与使用过程，会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 （1）实验资源、工具和准备工作。Catalyst2620路由器2台，Windows 2000客户机2台，Windows 2000 Server IIS服务器2台，集线器或交换机2台。制作好的UTP网络连接（双端均有RJ-45头）平行线若干条、交叉线（一端568A，另一端568B）1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 （2）实验内容。设置图8.39中各台路由器名称、IP地址、路由协议（可自选），保存配置文件；设置WWW服务器的IP地址；设置客户机的IP地址；分别对两台路由器设置扩展访问控制列表，调试网络，使子网1的客户机只能访问子网2的Web服务80端口，使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制，进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议（可自选），保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表，调试网络。使子网1的客户机只能访问子网2的Web服务80端口， 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制，进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置（三）ACL基本配置 1，二层ACL . 组网需求: 通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台；Router-PT 3 台；交叉线；DCE 串口线；Server-PT 1 台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）路由器之间通过V.35 电缆通过串口连接，DCE 端连接在R1 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP 地址。 （3）在路由器上配置静态路由协议，让三台PC 能够相互Ping 通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1 上编号的IP 标准访问控制。 （5）将标准IP 访问控制应用到接口上。 （6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）分公司出口路由器与外路由器之间通过V.35 电缆串口连接，DCE 端连接在R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC 机、服务器及路由器接口IP 地址。 （3）在各路由器上配置静态路由协议，让PC 间能相互ping 通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2 上配置编号的IP 扩展访问控制列表。 （5）将扩展IP 访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1：

PC2：

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置：PC0： Server0：

访问控制列表ACL配置-实验报告

课设5：访问控制列表ACL的配置 【实验目的】： 1．熟悉掌握网络的基本配置连接 2．对网络的访问性进行配置 【实验说明】： 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】： 【实验过程记录】：

步骤1：搭建拓扑结构，进行配置 （1）搭建网络拓扑图： （2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。 （3）设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置 代码如下： Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2：检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。 检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

acl配置实验

ACL配置实验 一、实验目的： 深入理解包过滤防火墙的工作原理 二、实验容： 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示，1,2,3是主机，4是服务器 1、配置主机，服务器与路由器的IP地址，使网络联通； 2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL； 3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL； B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)

１、配置ACL 限制远程登录（telnet）到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机，服务器与路由器的IP地址，使网络联通；

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；

Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2 Router(config)#access-list 1 permit any Router(config)#int f 0/1 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit pc1 ping pc2和服务器

配置路由器的ACL访问控制列表

在路由器上实现访问控制列表 试验描述： 实验目的和要求： 1.掌握在路由器上配置ACL的方法。 2.对路由器上已配置的ACL进行测试。 试验环境准备（GNS3）：3台路由器互联，拓扑图如下： 3. 试验任务：（1）配制标准访问控制列表；（2）配制扩展访问控制列表；（3）配制名称访问控制列表；（4）配制控制telnet访问。 4. 试验容：OSPF，ACL，telnet

试验步骤： 1.运行模拟器，按照如下拓扑图进行部署。 2.R2路由器的基本配置。 3.R2路由器的基本配置。 4.R2路由器的基本配置

5.R1 ping R2 6.R2 ping R3 7.R1 ping R3，要是能通就活见鬼了！ 8.现在在3台路由器上配置单区域OSPF，首先R1。

9.R2配置单区域OSPF。 10.R3配置单区域OSPF。 11.R3 ping R1，使用扩展ping的方式。应该可以ping通了。

12.R1ping R3，使用扩展ping的方式。应该可以ping通了。 13.在路由器R3上查看路由表时发现了一个10.1.1.1/32的主机地址条目，带有32位掩码。 这种情况最好加以避免，因为一旦在一个网络里路由器上所有的条目都出现在路由表上的话，路由器将使用大量的资源处理这些条目，太浪费了。本试验中，这个主机条目的出现是因为R1使用了一个loopback接口，虽然是逻辑接口，如果在OSPF路由器上使用这种接口，其它运行OSPF的路由器学习到这个路由器的时候就会显示出一个主机条目。消除这一现象可以通过将该网络设置为点到点即可。分别在R1和R3上设置。 14.R1设置点到点。

详解cisco访问控制列表ACL

详解cisco访问控制列表ACL 一：访问控制列表概述 〃访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。 〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。 〃实际应用：阻止某个网段访问服务器。 阻止A网段访问B网段，但B网段可以访问A网段。 禁止某些端口进入网络，可达到安全性。 二：标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置： router（config）#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router（config）#access-list表号 permit（允许） any 注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。 router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）

router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 （每当数据进入路由器的每口接口下，都会进行以下进程。） 注：当配置访问控制列表时，顺序很重要。要确保按照从具体到普遍的次序来排列条目。

Cisco访问控制列表

C i s c o访问控制列表 内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）

cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 分类： 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL

ACL IP访问控制列表配置实验

IP访问控制列表配置 目录： 第一个任务的：验证测试 (3) 第二个任务的：交换机的验证测试 (6) 第三个任务的：扩展访问验证测试 (10) 最后---总结： (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa

0端口，如图所示。 第1步：基本配置 路由器RouterA： R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB： R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0

ACL访问控制

1. 什么是访问控制列表 指根据事先设定好的一系列的规则，对进出路由器或者三层交换机的数据包进行检测，实现对网络的访问控制管理、流量管理等。 访问控制列表的种类 2. 目前主要有三种访问控制列表（ACL）： 标准ACL 扩展ACL 命名ACL 主要动作为允许（Permit）和拒绝（deny）。 主要应用方法：入栈（In）和出栈（Out）应用。 2.1 标准ACL 标准访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99。 Route(config)#access-list 1 deny 192.168.1.0 0.0.0.255 2.2 扩展ACL 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199。 Route(config)#access-list 101 deny 192.168.1.0 0.0.0.255 202.114.254.0 0.0.0.255 2.3 命名的访问控制列表 所谓命名的访问控制列表是以列表名代替列表编号来定义IP访问控制列表。(1). 标准的命名访问控制列表 Route(config)#ip access-list standard list-name Route(config-std-nacl)# (2). 扩展的命名访问控制列表 route(config)ip access-list extended list-name route(config-ext-nacl)# 2.4 基于时间的访问控制列表 基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段， 具体格式如下： time-range 时间段名称 absolute start [小时：分钟] [日月年] [end] [小时：分钟] [日月年] 例如：time-range softer absolute start 0:00 1 may 2005 end 12:00 1 june 2005 意思是定义了一个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。我们通过这个时间段和扩展ACL的规则结合就可以指定出针对自己公司时间段开放的基于时间的访问控制列表了。当然我们也可以定义工作日和周末，具体要使用periodic命令。

配置实现访问控制列表ACL

石河子大学信息科学与技术学院 网络工程实验报告 课题名称：配置实现访问控制列表ACL 学生姓名： 学号： 学院：信息科学与技术学院专业年级： 指导教师： 完成日期：2014年4月25日

一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。 2、掌握使用show access-list，show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图，并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台，并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示：

2，PC0~PC2,server0,server1的IP配置： Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)

标准ACL实验

标准ACL实验： 要求：配置标准ACL禁止PC3、PC4、PC5、PC6访问PC1和PC2。 1.绘制拓扑结构图 2.配置路由器R0的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R0 R0(config)#interface FastEthernet0/0 R0(config-if)#ip address 192.168.10.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface FastEthernet1/0 R0(config-if)#ip address 192.168.20.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface Serial2/0 R0(config-if)#ip address 172.16.1.1 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown

R0(config-if)#exit R0(config)#interface Serial3/0 R0(config-if)#ip address 172.16.2.2 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#router rip R0(config-router)#network 192.168.10.0 R0(config-router)#network 192.168.20.0 R0(config-router)#network 172.16.0.0 R0(config-router)#exit R0(config)# 3.配置路由器R1的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R1 R1(config)#interface FastEthernet0/0 R1(config-if)#ip address 192.168.30.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface FastEthernet1/0 R1(config-if)#ip address 192.168.40.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface Serial2/0 R1(config-if)#ip address 172.16.1.2 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#router rip R1(config-router)#network 192.168.30.0 R1(config-router)#network 192.168.40.0 R1(config-router)#network 172.16.0.0 R1(config-router)#exit R1(config)#

ACl访问控制列表

ACl 访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。 配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。 如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL 既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。 ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。 作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 例如：某部门要求只能使用WWW 这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。 3P原则

ACL概念与配置实例

ACL概念与配置实例 05-31 by LinuxA 防火墙必须能够提供控制网络数据流的能力，以用于安全性、qos需求和各种策略制定等各个方面。实现数据流控制的手段之一是使用acl（access control list，访问控制列表）。 acl是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。 反掩码和子网掩码相似，但写法不同 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围 反掩码（11111110）表示所有的偶数，（11111100）表示所有的4的倍数。于此类推。 通配符any可代替0.0.0.0 255.255.255.255 host表示与整个IP主机地址的所有位相匹配 标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包 标准IP访问控制列表的访问控制列表号从1到99 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝 标准访问控制列表一般用在目标地址的入口 扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过虑来提供更高程度的控制 扩展访问控制列表行中的每个条件都必须匹配，才认为该行被匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 使用的数字号在100到199之间 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝扩展访问控制列表一般用在源地址的出口。 标准的:access-list 1-99 deny/permit 源IP地址 扩展的:access-list 100-199 deny/permit ip/tcp/udp/icmp源IP/网段源端口eq/neq/gt/ct 目的IP/网段目的端口eq/neq/gt/ct 然后在接口下 ip access-group ACL号 out/in