ACL控制访问列表——标准访问控制列表配置实例

ACL标准访问控制列表的配置实例<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

ACL的工作流程

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

1、当一个数据报进入一个端口，路由器检查这个数据报是否可路由。

如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。如果有，根据ACL中的条件指令，检查这个数据报。

如果数据报是被允许的，就查询路由表，决定数据报的目标端口。

2、路由器检查目标端口是否存在ACL控制流出的数据报

不存在，这个数据报就直接发送到目标端口。

如果存在，就再根据ACL进行取舍

假如你是某公司的网络管理员，为了安全起见领导要求：经理可以访问财务部，但是市场部不可以访问财务部。

ACL的配置：

1、          创建一个标准访问控制列表

Router(config)# access-list access_list_number {permit|deny} {test_conditions}

2、将访问控制绑定到接口上

Router(config-if)# {protocol} access-group access_list_number {in|out}

3、关闭访问控制列表

Router(config)# no access-list access_list_number

拓扑图：

操作步骤：

Router0上操作

 

Router>en

Router#conf t

Router(config)#hostname r0

r0(config)#in f0/0

r0(config-if)#ip add 192.168.1.1 255.255.255.0

r0(config-if)#no shut

r0(config-if)#

r0(config-if)#in f0/1

r0(config-if)#ip add 192.168.2.1 255.255.255.0

r0(config-if)#no shut

r0(config-if)#

 

r0(config-if)#in s1/0

r0(config-if)#ip add 192.168.3.1 255.255.255.0

r0(config-if)#clock rate 64000

r0(config-if)#no shut

 

 

Router1上操作

Router>en

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#in f0/0

Router(config-if)#ip add 192.168.4.1 255.255.255.0

Router(config-if)#no shut

 

Router(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

 

Router(config-if)#in s1/1

Router(config-if)#ip add 192.168.3.2 255.255.255.0

Router(config-if)#no shut

 

Router(config-if)#

%LINK-5-CHANGED: Interface Serial1/1, changed state to up

   

Router(config-if)#ip route <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.0 0.0.0.0 192.168.3.1              //配置缺省路由

Router(config)#

 

返回Router0上继续操作：

r0(config-if)#

r0(config-if)#ip route 192.168.4.0 255.255.255.0 192.168.3.2        //添加静态路由

配置好以后测验。三台主机之间可相互通信！

r0(config)#ip access-list ?

  extended  Extended Access List                //扩展访问控制列表

  standard  Standard Access List                    //标准访问控制列表

r0(config)#ip access-list standard ?

  <1-99>  Standard IP access-list number

  WORD    Access-list name

r0(config)#ip access-list standard  ahxh            //命名的方式

r0(config-std-nacl)#permit 192.168.1.0 0.0.0.255        //允许192.168.1.0网段的报文通过

0.0.0.255用的是通配符掩码。和子网掩码一样，以点分十进制来表示。通过与IP地址执行比较操作来标识网络。不同的是，通配符掩码化为二进制以后，其中的“1”表示在比较中可以被忽略，地址为上的“0”则表示相应的地址位必须被检查

r0(config-std-nacl)#deny 192.168.2.0 0.0.0.255      //丢弃192.168.2.0网段的报文

r0(config-std-nacl)#end

 

r0#[1]

r0#conf t

r0(config)#in s1/0                          //应用的端口上

r0(config-if)#ip access-group ahxh out          //出栈应用

r0(config-if)#

 

[1]

转载于:https://blog.51cto.com/liangyouqiang/321331