IP ACL（IP訪問(wèn)控制列表或IP訪問(wèn)列表）是實(shí)現(xiàn)對(duì)流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過(guò)濾，從而提高網(wǎng)絡(luò)可管理性和安全性。主要分為標(biāo)準(zhǔn)IP訪問(wèn)列表、擴(kuò)展IP訪問(wèn)列表和命名訪問(wèn)控制列表等。

情境分析

公司的財(cái)務(wù)部門(mén)涉及到企業(yè)許多重要的財(cái)務(wù)信息和數(shù)據(jù)，因此保障公司管理部門(mén)的安全訪問(wèn)，減少普通部門(mén)對(duì)財(cái)務(wù)部的訪問(wèn)很有必要，這樣可以盡可能地減少網(wǎng)絡(luò)安全隱患。

在路由器上應(yīng)用標(biāo)準(zhǔn)訪問(wèn)控制列表，對(duì)訪問(wèn)財(cái)務(wù)部的數(shù)據(jù)流量進(jìn)行限制，禁止銷(xiāo)售部訪問(wèn)財(cái)務(wù)部的數(shù)據(jù)流量通過(guò)，但對(duì)經(jīng)理部的訪問(wèn)不做限制，從而達(dá)到保護(hù)財(cái)務(wù)部主機(jī)安全的目的。

所需設(shè)備：

（1）Cisco 2911路由器2臺(tái)。

（2）PC機(jī)3臺(tái)。

（3）直通線3條。

（4）交叉線1條。

（5）Console配置線1條。

任務(wù)拓?fù)洌鐖D5-2-1所示。

圖5-2-1 ?標(biāo)準(zhǔn)訪問(wèn)控制列表配置

路由器和PC的IP地址及端口信息，如表5-2-1所示。

表5-2-1 ?路由器和PC的IP地址及端口信息表

步驟實(shí)現(xiàn)

步驟1：按照如圖5-2-1所示，連接網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

步驟2：按照如表5-2-1所示，配置計(jì)算機(jī)的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)。

步驟3：配置路由器Router-A的主機(jī)名稱(chēng)和接口IP地址。

Router>enable

Router#config t

Router(config)#hostname Router-A  修改主機(jī)名稱(chēng)

Router-A(config)#int g0/0

Router-A(config-if)#ip address 192.168.1.254 255.255.255.0  配置ip和子網(wǎng)

Router-A(config-if)#no shutdown

Router-A(config)#int g0/1

Router-A(config-if)#ip address 192.168.2.254 255.255.255.0

Router-A(config-if)#no shutdown 打開(kāi)端口

Router-A(config)#int g0/2

Router-A(config-if)#ip address 192.168.10.1 255.255.255.0

Router-A(config-if)#no shutdown

Router-A(config-if)#exit

Router-A(config)#

步驟4：配置路由器Router-B的主機(jī)名稱(chēng)和接口IP地址。

Router>enable

Router#config t

Router(config)#hostname Router-B

Router-B(config)#int g0/1

Router-B(config-if)#ip address 192.168.10.2 255.255.255.0

Router-B(config-if)#no shutdown

Router-B(config)#int g0/0

Router-B(config-if)#ip address 192.168.3.254 255.255.255.0

Router-B(config-if)#no shutdown

Router-B(config-if)#exit

Router-B(config)#

步驟5：在路由器Router-A和路由器Router-B上配置靜態(tài)路由。

Router-A(config)#ip route 192.168.3.0 255.255.255.0 192.168.10.2
Router-B(config)#ip route 192.168.1.0 255.255.255.0 192.168.10.1  配置下一跳，實(shí)現(xiàn)網(wǎng)絡(luò)互通
Router-B(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.1

http://t.csdn.cn/PNFaW? 靜態(tài)路由下一跳講解

步驟6：驗(yàn)證網(wǎng)絡(luò)的連通性，測(cè)試PC2（銷(xiāo)售部）到PC3（財(cái)務(wù)部）的通信，

步驟7：配置標(biāo)準(zhǔn)訪問(wèn)控制列表，禁止PC2（銷(xiāo)售部）訪問(wèn)PC3（財(cái)務(wù)部）。

Router-B(config)#access-list 10 deny 192.168.2.0 0.0.0.255

                     ！配置標(biāo)準(zhǔn)ACL規(guī)則：列表號(hào)為10，禁止192.168.2.0網(wǎng)段主機(jī)的流量

Router-B(config)#access-list 10 permit any                 ！允許其它所有的流量

Router-B(config)#int g0/0                                         ！進(jìn)入端口

Router-B(config-if)#ip access-group 10 out         ！將訪問(wèn)控制列表應(yīng)用到路由器Router-B的g0/0端口的出口方向

Router-B(config-if)#exit

Router-B(config)#

?學(xué)習(xí)小結(jié)

ACL配置：
conf t
access-list 1 permit 192.168.0.0 0.0.255.255
創(chuàng)建列表1，允許192.168.0.0/16網(wǎng)段訪問(wèn)

access-list 1 deny any  拒絕其他網(wǎng)段訪問(wèn)
Router-B(config)#access-list 10 permit any          ！允許其它所有的流量
Router-B(config)#access-list 10 deny 192.168.2.0 0.0.0.255
                     ！配置標(biāo)準(zhǔn)ACL規(guī)則：列表號(hào)為10，禁止192.168.2.0網(wǎng)段主機(jī)的流量
    
interface vlan 20  進(jìn)入接口
Router-B(config-if)#ip access-group 10 out     
！將訪問(wèn)控制列表應(yīng)用到路由器Router-B的g0/0端口的出口方向

定義接口是內(nèi)部接口還是外部命令
interface f0/0
ip nat inside          內(nèi)部接口
ip nat outside   外部接口

ZB-RT-01(config)#ac
ZB-RT-01(config)#access-list 5 p
ZB-RT-01(config)#access-list 5 permit 172.16.0.0 0.0.127.255

地址轉(zhuǎn)換，端口復(fù)用
ip nat inside source list 5 interface GigabitEthernet0/0 overload
ZB-RT-01(config)#ip nat inside source list 5 interface gigabitEthernet 0/0 overload 

Switch(config)#no access-list 1  刪除acl 1

每日一言：

未經(jīng)審視的人生是不值得過(guò)的。 --蘇格拉底文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-488327.html

到了這里，關(guān)于Cisco Packet Tracer中思科模擬器標(biāo)準(zhǔn)訪問(wèn)控制列表的配置（ACL）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！