Cisco：标准ACL实验配置实验以及知识讲解

访问控制列表，实现网络流量限制，提供流量控制，为网络提供基本的安全层

• • Cisco：标准ACL实验配置实验以及知识讲解
• 一、ACL的基本概念
• 二、访问控制列表的类型
• • 1、标准访问控制列表
  • 2、扩展访问控制列表
  • 3、命名访问控制列表
• 三、实验一：配置标准ACL实现流量控制
• • 1、网络拓扑图搭建
  • 2、R1、R2、R3的IP地址接口配置
  • 2、标准ACL配置
• 测试连通性
• 总结

ACL (Access Control List,访问控制列表）是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据一定的规则进行，如源地址、目标地址、端口号等。ACL使得用户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端口的数据包进行检査。ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进行过滤。ACL在路由器的端口过滤数据流，决定是否转发或者阻止数据包。ACL应该根据路由器的端口所允许的每个协议来制定，如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。

1.基于源IP地址过滤数据包
2.标准访问控制列表的访问控制列表号是1~99

1.基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
2.扩展访问控制列表的访问控制列表号是100~199

命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

实验要求：标准ACL配置，实现流量控制，简单的来说就是PC0不能ping通PC2，但是PC0可以ping通PC1

Router>en
Router#configure terminal  		 //进入全局配置模式
Router(config)#hostname R1 		//命名,后面R2,R3皆是如此命名

# R1
R1(config)#interface g0/0/1   									 //进入接口g0/0/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0				//配置IP地址
R1(config-if)#no shutdown  									   //打开接口
R1(config-if)#exit    									  	  //退出接口g0/0/1
R1(config)#interface g0/0/0    								 //进入接口g0/0/0
R1(config-if)#ip address 192.168.4.1 255.255.255.0			//配置IP地址
R1(config-if)#no shutdown          						   //打开接口

# R2
R2(config)#interface g0/0/0 
R2(config-if)#ip address 192.168.4.2 255.255.255.0					
R2(config-if)#no shutdown   
R2(config-if)#exit    
R2(config)#interface g0/0/1
R2(config-if)#ip address 192.168.5.1 255.255.255.0					
R2(config-if)#no shutdown   
R2(config-if)#exit    
R2(config)#interface g0/0/2
R2(config-if)#ip address 192.168.2.1 255.255.255.0					
R2(config-if)#no shutdown

# R3
R3(config)#interface g0/0/1 
R3(config-if)#ip address 192.168.5.1 255.255.255.0					
R3(config-if)#no shutdown   
R3(config-if)#exit    
R3(config)#interface g0/0/0
R3(config-if)#ip address 192.168.3.1 255.255.255.0					
R3(config-if)#no shutdown   
R3(config-if)#exit  
  

这里主要都是配置IP地址的常规操作，因为基础的不能再基础了，后面会出一片关于IP地址详细划分以及配置讲解，点赞过百，就更！

PC机也进行IP地址以及网关的配置

每一个主机都需要配置好IP地址，除非在做DHCP动态获取IP地址，不同的网段配置不同的IP。

一般配置ACL需要两步走
1：创建访问控制列表：access-list access-list-number(deny | permit) （源地址，源地址通配符掩码any）
其中access -list -number是1~99的编号，deny是拒绝的意思，permit是允许，log是日志选项

#R1
R1(config)#access-list 1 ?
  deny    Specify packets to reject  		    	 //条件匹配时禁止访问
  permit  Specify packets to forward				//条件匹配时允许访问
  remark  Access list entry comment            	   //添加备注，增强ACL易读性
R1(config)#access-list 1 deny host 192.168.3.254		//禁止192.168.3.254的流量通过,也就是主机PC2
R1(config)#access-list 1 permit any 					//允许其他流量通过
R1(config)#interface g0/0/0
R1(config-if)#ip access-list 1 in 
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.4.2			//配置一个默认路由

#R2
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.4.1
R2(config)#ip route 192.168.3.0 255.255.255.0 192.168.5.2

#R3
R3(config)#ip  route  0.0.0.0  0.0.0.0  192.168.5.1 

PC2——PC0

PC2——PC1

PC1就能ping通所有主机

PC0和PC2无法互通，但是PC0可以和PC1通信，PC2也可以和PC1通信，这个就是标准ACL，注意的是：标准ACL的访问控制列表号是1 - 99，而下一个实验扩展ACL的列表号是100-199。