ACL访问控制列表实验

什么是访问控制列表？

访问控制列表(ACL)是应用在路由器接口的指令列表，用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。ACL是路由器中不可缺少的另一大功能，主要应用在边界路由器跟防火墙路由器。 实验拓扑图

RouterA RouterB

S0/0 S0/1 F0/0 F0/1 A B C C D E F

router A 的IP地址： F0/1 172.1.1.1/24（主机网关地址）

S0/0 192.168.1.1/24

router B 的IP地址： S0/1 192.168.1.2/24

F0/0 172.2.2.1/24（主机网关地址）

host A的IP地址: 172.1.1.2/24 host B的IP地址: 172.1.1.3/24

host C的IP地址: 172.1.1.4/24 host D的IP地址: 172.2.2.2/24

host E的IP地址: 172.2.2.3/24 host F的IP地址:

172.2.2.4/24 实验要求：

1. ACL能正常工作的前提是所有主机都能ping通。（采用RIP路由协议）

2. 路由器的基本配置: 1)设置路由器接口IP地址。2) 配置RIP路由

3. 根据以上拓扑划分出的2个网段，要求禁止主机F访问172.1.1.0/24网段。该如何实现？.

一、 实验步骤：

路由器的基本配置: 1)、设置路由器接口IP地址。 1．

router A 的配置：

router B的配置：

2．配置RIP路由： router A 的配置：

router B的配置：

3．接下来测试一下host A 、host B 、host C、host D、host E 、host F是否都能互相ping 通 ，如果都能互通我们再做下面的步骤。

4．标准访问控制列表：要求禁止主机F访问172.1.1.0/24网段。 对 router A 进行配置：

关于命令行的解释：（课本P117） Router(config)#access-list

{permit|deny} {test-conditions}

其中access-list-number就是列表号，范围为1~99（扩展的访问控制列表列表号为100~199），permit（允许）和deny（拒绝）必须选其一，test-conditions为设定的比较条件，如本实验的access-list 1 deny 172.2.2.4 0.0.0.0，创建一条列表，列表号为1，拒绝172.2.2.4主机的访问，0.0.0.0为反转掩码（上节课讲过）；假设要禁止172.2.2.0/24整个网段所有的主机访问172.1.1.0/24网段，那么访问控制列表为access-list 2 deny 172.2.2.0 0.0.0.255。access-list 1 permit any，意思是允许除了172.2.2.4以外的任何主机访问。 在建立完访问控制列表后，要在接口上应用它 Router(config-if)#{protocol}

access-group access-list-number

access-list-number {in|out}，如本实验在F0/1接口上的应用，Router(config-if)#ip access-group 1 out，说明IP协议在访问列表1上应用，数据流的方向是从F0/1口流出。关于数据流

进流出的判断，即in|out的选择，请结合拓扑图理解。

查看配置 ： 试比较各种查看ACL的命令，且分别说出它们的区别。

5．测试：

用主机F 去 ping 172.1.1.0/24网段，如果主机F不能ping通的主机，而其他主机可以ping通则实验成功 。 6. 删除ACL：

router ( config )# no access-list 1

注意：在删除一个ACL之前要先查看该ACL应用在哪个接口的哪个方向上，先清除应用之后再作删除。

Router(config-if)# no ip access-group 1 out 四、思考

1．如果是3个路由器组成的拓扑图又应该如何配置？ host A、B 属于172.1.1.0/24 网段 ；host C、D属于172.2.2.0/24网段；

host E、F 属于172.3.3.0/24 网段。

要求禁止172.3.3.0/24 网段上所有的用户访问172.1.1.0/24 网段，应该如何配置标准ACL或者扩展ACL？你