ACl组网测试实验技术文档.docxVIP

ACl组网测试实验 组网一：ACL流量访问控制 拓朴: 2.Ip地址分配表： 3.实验组网需求: 实现192.168.1.192-192.168.1.255不能访问192.168.2.128-192.168.2.255 4.配置步骤： 在RT1上的E3/1口的入方向使用标准ACl实现 (方法一) RT1(config)#access-list 2 deny 192.168.1.192 0.0.0.63? //创建access-list 2，拒绝?192.168.1.192—192.168.1.255的流量 RT1(config)#access-list 2 permit 192.168.1.0 0.0.0.255 //允许192.168.1.0/24的流量通过 RT1(config)#interface e3/1 RT1(config-if)#ip access-group 2 in???//将access-list 2?应用在接口E3/1的入方向 在RT1的E3/1口的入方向使用扩展ACL实现（方法二） RT1(config)#access-list 101 deny ip 192.168.1.192 0.0.0.63 192.168.2.128 0.0.0.127 ?//创建access-list 101，拒绝?192.168.1.192—192.168.1.255访问192.168.2.128—192.168.2.255?? RT1(config)#access-list 101 permit ip any any?//允许其它主机之间的访问 RT1(config)#interface e3/1 RT1(config-if)#ip access-group 101 in //将access-list ?101应用在接口E3/1的入方向 在RT1上的E3/2的入方向使用标准ACl实现 (方法三) RT1(config)#access-list 4 deny 192.168.1.192 0.0.0.63 ?? //创建access-list 4，拒绝?192.168.1.192—192.168.1.255的流量通过 RT1(config)#access-list 4 permit any???//允许任何网段的流量通过?????????????? RT1(config)#interface ethernet 3/2 RT1(config-if)#ip access-group 4 out???//将access-list 4?应用在接口E3/2的出方向 在RT1的E3/2口的入方向使用扩展ACL实现(方法四) RT1(config)#?access-list 102 deny ip 192.168.1.192 0.0.0.63 192.168.2.128 0.0.0.127 //创建access-list 102，拒绝?192.168.1.192—192.168.1.255访问192.168.2.128—192.168.2.255???????? RT1(config)#access-list 102 permit ip any any//允许其它主机之间的访问 RT1(config)#interface ethernet 3/2 RT1(config-if)#ip access-group 102 out??????//将access-list 102?应用在接口E3/2的出方向 实验总结 ? 标准ACL 扩展ACL 基于特征来区分数据 源IP地址 源目地址，源目端口号，传输层协议 访问控制列表号 1-99. 1300-1999 100--199. 2000-2699 末尾隐藏 deny??any deny??ip??any??any ? ? 每个条件都必须匹配，才会施加允许或拒绝条件 ? 组网二：ACL设备访问控制 拓朴： Ip地址分配表： 实现组网需求： 实现只有192.168.3.0/24网段能够Telnet到RT1 RT1(config)#access-list 1 permit 192.168.3.0 0.0.0.255 //允许192.168.3.0/24的流量通过 RT1(config)#line vty 0 4 //进入vty接口模式 RT1(config-line)#access-class 1 in //应用acl 组网三：放通路由协议数据包 拓朴： 2.Ip地址分配表 实现组网需求 实现192.168.3.0/24 网段只能被192.168.1.0/24