标准IP访问控制列表配置

计算机网络

工具软件

配置计算机PC0 IP: 172.16.1.2 Submask: 255.255.255.0 Gageway: 172.16.1.1

配置计算机PC1 IP: 172.16.2.2 Submask: 255.255.255.0 Gageway: 172.16.2.1

配置计算机PC2 IP: 172.16.4.2 Submask: 255.255.255.0 Gageway: 172.16.4.1

配置路由器Router>enRouter#conf tRouter(config)#host RORO(config)#int fa0/0RO(config-if)#ip address 172.16.1.1 255.255.255.0RO(config-if)#no shutdownRO(config-if)#RO(config-if)#int fa1/0RO(config-if)#ip address 172.16.2.1 255.255.255.0RO(config-if)#no shutdownRO(config-if)#RO(config-if)#int s2/0RO(config-if)#ip address 172.16.3.1 255.255.255.0RO(config-if)#no shutdownRO(config-if)#clock rate 64000RO(config-if)#

配置路由器R2Router>ENRouter#enRouter#conf tRouter(config)#host R1R1(config)#int 2/0R1(config)#int s2/0R1(config-if)#ip address 172.16.3.2 255.255.255.0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#int fa0/0 R1(config-if)#ip address 172.16.4.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#

配置Router0RO#enRO#conf tEnter configuration commands, one per line.  End with CNTL/Z.RO(config)#int fa0/0RO(config-if)#ip address 172.16.1.1 255.255.255.0RO(config-if)#no shutdownRO(config-if)#int fa1/0RO(config-if)#ip address 172.16.2.1 255.255.255.0RO(config-if)#no shutdownRO(config-if)#int s2/0RO(config-if)#ip address 172.16.3.1 255.255.255.0RO(config-if)#no shutdownRO(config-if)#clock rate 64000RO(config-if)#exitRO(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2RO(config)#

配置路由器Router1R1(config-if)#R1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1R1(config)#endR1#R1#show ip routeGateway of last resort is 172.16.3.1 to network 0.0.0.0     172.16.0.0/24 is subnetted, 2 subnetsC       172.16.3.0 is directly connected, Serial2/0C       172.16.4.0 is directly connected, FastEthernet0/0S*   0.0.0.0/0 [1/0] via 172.16.3.1R1#

测试连通性PC0 ping 172.16.4.2 (success)PC1 ping 172.16.4.2 (success)

设置路由器防护火墙RO(config)#ip access-list standard jsjRO(config-std-nacl)#permit 172.16.1.0 0.0.0.255RO(config-std-nacl)#deny 172.16.2.0 0.0.0.255RO(config-std-nacl)#conf t%Invalid hex valueRO(config)#int s2/0RO(config-if)#ip access-group jsj outRO(config-if)#end

测试连通性PC0 ping 172.16.4.2 PC1 ping 172.16.4.2

ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；

IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；

标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；

扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；

IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；