访问控制列表ACL

一、实验背景

假设有如下一个网络，其中主机B作为客户机，主机A作为提供关键资源的服务器。为了安全起见，要求信任区域主机B可以可以访问服务器A，而其他非信任网段的主机不可以访问服务器A

二、实验目的

1．理解ACL的作用。

2．掌握标准的和扩展的ACL配置方法。

三、实验内容

1．配置标准ACL。

2．配置扩展ACL。

四、实验环境

1．硬件环境

（１）PC机2台；

（２）2811路由器两台；

（３）路由器的Console口与计算机COM1口连接线1根；

（４）路由器同步串口线一根。

2．网络拓扑如图

五、实验步骤 

1．打开路由器A和路由器B的RIP路由，使主机A与主机B能够相互

ping通，具体配置如下： 配置主机A的直接路由信息 Configure terminal 

（1）hostname A  进入全局配置模式 

interface fastethernet 1/0 进入F1/0接口模式

ip address 172.16.1.1 255.255.255.0配置接口地址

no shutdown 

interface fastethernet 1/1 进入F1/1接口模式

ip address 172.16.1.1 255.255.255.0配置接口地址

no shutdown

（2）配置主机B的直接路由信息 Configure terminal 

hostname B  进入全局配置模式 

interface fastethernet 1/0 进入F1/0接口模式 

ip address 172.16.3.1 255.255.255.0 配置接口地址 no shutdown 

interface fastethernet 1/1 进入F1/1接口模式 

ip address 172.16.2.1 255.255.255.0配置接口地址 no shutdown 

（3）配置非直接的网络的动态路由 主机A: 

configure terminal router Rip version 2 

(config-router)#network 172.16.1.0 (config-router)#network 172.16.2.0

主机B: 

configure terminal router Rip version 2 

network 172.16.1.0 network 172.16.2.0  

2．配置路由器A基本访问列表 

A(config)#access-list 1 permit 172.16.3.0 0.0.0.255 创建访问列表1，规则是允许源地址为172.16.3.0，子网掩码的反码为0 0.0.0.255的网段的主机的数据包 

A(config)#access-list 1deny0.0.0.0 255.255.255.255 添加规则，禁止任何网段的数据包 

A(config)#interface fastethernet 0        进入快速以太网F0接口配置模式 A(config-if)#ip access-group 1 in将访问列表1入栈应用到F0口 3．测试1 

主机A与主机B应可以相互ping通，但是路由器网段172.16.2.0不能ping通主机A。 

4．配置路由器B扩展访问列表 

B(config)#access-list 101 deny tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255