思科模拟器 --- 标准IP访问控制列表配置

学习目标：①理解标准IP访问控制列表的原理及功能

②掌握编号的标准IP访问控制列表的配置方法

1.访问控制列表的概念

①ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性。

②IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699

③标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

④扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

⑤IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用。

2.实验场景：允许总经办部门（PC 0）的访问财务部（PC 2），禁止市场部（PC 1）访问财务部

3.实验设备：Router-PT 2台、PC 3台、DCE串口线、交叉线

4.配置 PC 0、PC 1、PC 2、PC 3 的IP地址

PC 0 的IP地址：192.168.1.2

MAC地址：255.255.255.0

PC 1 的IP地址：192.168.2.2

MAC地址：255.255.255.0

PC 2 的IP地址：192.168.4.2

MAC地址：255.255.255.0

PC 3 的IP地址：192.168.5.2

MAC地址：255.255.255.0

5.配置路由器 Router 0

Router>en

Router#conf t

Router(config)#int f0/0 进入 f0/0 端口

Router(config-if)#ip add 192.168.1.1 255.255.255.0 配置 f0/0 端口的IP地址

Router(config-if)#no sh 开启端口

Router(config-if)#int f1/0

Router(config-if)#ip add 192.168.2.1 255.255.255.0

Router(config-if)#no sh

Router(config-if)#int s2/0 进入 s2/0 端口

Router(config-if)#ip add 192.168.3.1 255.255.255.0 配置 s2/0 端口的IP地址

Router(config-if)#no sh 开启端口

Router(config-if)#clock rate 64000 设置同步时间

Router(config-if)#exit

Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2 配置静态路由

Router(config)#ip route 192.168.5.0 255.255.255.0 192.168.3.2 配置静态路由

6.配置路由器 Router 1

Router>en

Router#conf t

Router(config)#int f0/0 进入 f0/0 端口

Router(config-if)#ip add 192.168.4.1 255.255.255.0 配置 f0/0 端口的IP地址

Router(config-if)#no sh 开启端口

Router(config-if)#int f1/0 进入 f1/0 端口

Router(config-if)#ip add 192.168.5.1 255.255.255.0 配置 f1/0 端口的IP地址

Router(config-if)#no sh 开启端口

Router(config-if)#int s2/0

Router(config-if)#ip add 192.168.3.2 255.255.255.0

Router(config-if)#no sh

Router(config-if)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1 配置静态路由

7.验证：按照上述步骤配置完之后，PC 0 ping PC 2 / PC 3 可以正常通信

8.配置 Router 0 的访问控制列表

# Router(config)#access-listaccess-list-number {permit|deny} sourse [mark] # 允许|拒绝源地址反掩码

Router#conf t

Router(config)#ip access-list standard chd 建立标准 ACL 命名为 chd

Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255 允许 192.168.1.0 通过（PC 0 所在网段）

Router(config-std-nacl)#deny 192.168.2.0 0.0.0.255 禁止 192.168.2.0 通过（PC 1 所在网段）

Router(config-std-nacl)#exit

Router(config)#int s2/0 进入 s2/0 端口

Router(config-if)#ip access-group chd out 向端口 s2/0 配置允许口令为： chd

9.验证：PC 0 ping PC 2 可以正常通信，PC 1 ping PC 2 不通