版權聲明:如果對大家有幫助,大家可以自行轉載的。https://blog.csdn.net/qq_37992321/article/details/84861310
1.技術原理
ACLs 的全稱爲接入控制列表(Access Control Lists),也稱訪問控制列表(Access Lists),俗稱防火牆,在有的文檔中還稱包過濾。ACLs 通過定義一些規則對網絡設備接口上的數據
包文進行控制;允許通過或丟棄,從而提高網絡可管理型和安全性;
IP ACL 分爲兩種:標準 IP 訪問列表和擴展 IP 訪問列表,編號範圍爲 1~99、1300~1999、100~199、2000~2699;標準 IP 訪問控制列表可以根據數據包的源 IP 地址定義規則,進行數據包的過濾;
擴展 IP 訪問列表可以根根據數據包的原 IP、目的 IP、源端口、目的端口、協議來定義規則,進行數據包的過濾;IP ACL 基於接口進行規則的應用,分爲:入棧應用和出棧應用;
2.拓撲圖
3.配置PC
PC0
IP: 172.16.1.2
Submask: 255.255.255.0
Gageway: 172.16.1.1
PC1
IP: 172.16.2.2
Submask: 255.255.255.0
Gageway: 172.16.2.1
PC2
IP: 172.16.4.2
Submask: 255.255.255.0
Gageway: 172.16.4.1
4.配置路由器,使得PC間可以互通
Router0
Router>en
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int f0/0
Router(config-if)#ip add 172.16.1.1 255.255.255.0
Router(config-if)#no shu
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#int f1/0
Router(config-if)#ip add 172.16.2.1 255.255.255.0
Router(config-if)#no shu
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
Router(config-if)#int s2/0
Router(config-if)#ip add 172.16.3.1 255.255.255.0
Router(config-if)#no shu
%LINK-5-CHANGED: Interface Serial2/0, changed state to down
Router(config-if)#exit
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router1
Router>en
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int s2/0
Router(config-if)#ip add 172.16.3.2 255.255.255.0
Router(config-if)#no shu
Router(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
Router(config-if)#int f0/0
Router(config-if)#ip add 172.16.4.1 255.255.255.0
Router(config-if)#no shu
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#exit
Router(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
5.允許 172.16.1.0 網絡通過
拒絕 172.16.2.0 網絡通過
Router0
Router(config)#access-list 1 permit 172.16.1.0 0.0.0.255 //建立標準訪問控制列表編號爲1,允許 172.16.1.0 網絡通過
Router(config)#access-list 1 deny 172.16.2.0 0.0.0.255 //拒絕 172.16.2.0 網絡通過
Router(config)#int s2/0
Router(config-if)#ip access-group 1 out //在該端口下調用訪問控制列表 1,針對的是從 S2/0 流出路由器 0 的流量
Router(config-if)#exit
6.網絡測試
PC0 ping PC2 success
PC 1 ping PC 2 Reply from 172.16.2.1: Destination host unreachable.
我們可以看到路由器可以讓172.16.1.0的包網段通過,但是不可以讓172.16.2.0網段的包通過