思科Cisco路由器的ACL控制列表设置

Posted 2023-04-20

请各位高手帮帮我的忙：
1.假设局域网内所有网络都互通，现在想设PC3不能访问SERVER服务器192.168.3.3
2.PC0不能上外网，PC2 不能访问192.168.1.0网段，但PC0和PC1能访问PC2
3.路由器 ACL控制列表最多能设几个？比如：Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 2 permit 192.168.2.0 0.0.0.255
4.控制列表permit 192.168.1.0 0.0.0.255可以设permit 192.168.0.0 0.0.0.255吗，是否就可以让192.168. 后 面 二 位随便什么数都可以上外网了，
5.回答最好能命令加上解文字解释，因为我是初学者。

1、首先在电脑上点击打开Cisco软件。准备两个PC，一个server和三个路由器，并连接。

2、然后在点击电脑的Destop窗口，配置PC和server的IP地址和网关。

3、然后在三个路由器的CLI窗口，配置路由器的IP地址。

4、然后根据路由器的端口和线路方向，用ip route命令配置路由器的下一跳。

5、然后点击进入到PC和server的run窗口，用ping命令检查PC和server的连通性，要保证连通成功。

6、然后进入到server中进行ACL查询。

7、再进入到连接路由器的端口，配置ACL。测试效果就是不能连通server，说明ACL的配置成功。

参考技术A

1、根据问题1，需在在switch3上做acl，其PC3不能访问服务器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3  //拒绝网络192.168.4.4访问服务器192.168.3.3。 

switch3(config)#access-list 100 peimit ip any any   //允许其他主机访问。

switch3(config) #interface f0/5　　　　

switch3(config-if) #ip access-group 100 in     //在路由器f0/5接口入方向下调用此ACL 100。

2、根据问题2，PC0、PC1、PC2之间访问关系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33  //PC0禁止访问外网

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2   //PC0允许访问PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2   //PC1允许访问PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255  //PC2禁止访问192.168.1.0网段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in   //分别在switch3上调用acl 101和102。

3、根据问题3，acl分为标准acl和扩展acl，其标准acl访问控制列表号为1-99，扩展acl访问控制列表号为100-199，每条acl下又能创建多条规则，但一个接口下只能调用一条acl。

4、根据问题4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范围，命令为：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any   //允许192.168.0.0/16地址访问任何网络。

扩展资料：

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。 

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。 

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTP、SNMP和NIP等。 

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在ios中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

参考技术B 　　1.创建访问控制列表
access-list1deny172.16.4.130.0.0.0(标准的访问控制列表)
access-list1permit172.16.0.00.0.255.255(允许网络172.16.0.0)的所有流量通过
access-list1permit0.0.0.0255.255.255.255(允许任何流量通过，如过没有只允许172.16.0.0
的流量通过)
2.应用到接口E0的出口方向上：
interfacefastehernet0/0
ipaccess-group1out(把ACL绑定到接口)
删除一个访问控制列表，首先在接口模式下输入命令：

noipaccess-group
然后在全局模式下输入命令
noaccess-list
并带上它的全部参数
〖访问控制列表的通配符〗

0.0.0.0255.255.255.255=====any

Router(config)#access-list1permit172.30.16.290.0.0.0
======Router(config)#access-list1permithost172.30.16.29
+++++++++++++++++++++++++++++==
访问控制列表的种类
+++++++++++++++++++++++++++
标准IP访问列表只对源IP地址进行过滤。
扩展访问控制列表不仅过滤源IP地址，还可以对目的IP地址、源端口、目的端口进行过滤

尽量把扩展ACL应用在距离要拒绝通信流量的来源最近的地方，以减少不必要的通信流量。
最好把标准的ACL应用在离目的地最近的地方 。
标准的ACL根据数据包的源IP地址来允许或拒绝数据包。
当配置访问控制列表时，顺序很重要。
标准访问控制列表的应用与配置
扩展ACL中，命令access-list的完全语法格式如下：
Router(config)#access-listaccess-list-numberpermit|denyprotocol[sourcesource-
wildcarddestinationdestination-wildcard] 。
[operatoroperan][established][log] 。
access-list-number访问控制列表表号100~199 。
permit|deny表示在满足测试条件的情况下，该入口是允许还是拒绝后面指定地址的通信流量
protocol用来指定协议类型，如IP\TCP\UDP\ICMP\GRE\IGRP 。
sourcedestination源和目的，分别用来标识源地址和目的地址 。
source-wildcard、destination-wildcard---反码 。
operatoroperan---lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一个端口号 。
esablished------如果数据包使用一个已建立连接。便可以允许Tcp信息量通过 。 参考技术C 首先，选个中心节点的路由器做ACL，看上图可以先中间那台三层交换机，（初学就开始用三层交换机，比我厉害多了）
问题一：
Switch(config)#access-list 100 deny ip host 192.168.4.4 host 192.168.3.3 // 100是表示扩展ACL的编号，主机PC3就是"host192.168.4.4"不能连通SERVER就是"host 192.168.3.3"的IP流量
问题二：
对于PC2不能上外网我不知道你这个上外网用的什么技术，那就直接吧这个用在F0/1的out接口上。Switch(config)#access-list 1 deny host 192.168.1.2 这个是标准ACL。PC 2不能访问192.168.1.0，Switch(config)#access-list 100 deny ip host 192.168.2.2 192.168.1.0 0.0.0.255
问题三：
可以随便设置控制列表，理论无数个，就算编号用完了可以用名字，关键问题是，一个接口只能应用一个ACL用了编号1的就不能用2
问题四：
这个是通配符的，比如你的上面通配符就是0.0.0.255，想随便什么就能上网就这样permit 192.168.0.0 0.0.255.255，这个表示0的对应位置就是匹配.255表示随意什么数。就是说前面的192.168一定要一样，后面的两个就不管了对应0.0
问题五：
我也是初学者知识有限，我回答有问题欢迎指出追问

大哥还想问一个问题：比如说路由器有两个接口，一个接外网一个接内网，I建立一个上外网的ACL，好像要用到一个端口ip nat inside，另一个端口用ip nat outside ，如果这二个端口都用完了，我想再建立一个用于内网的访问内网的ACL，不是不够端口用吗？

追答

ip nat inside 和ip nat outside只是做NAT时指定的数据流向，并不算是ACL在接口的应用。不过做NAT的时候用到了ACL只定义了源地址。实际情况是先执行接口上的ACL再执行NAT的。

本回答被提问者采纳

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置

思科实验ACL

原理概述：

访问控制列表(ACL)是一种基于包过滤的​​访问控制技术​​，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于​​路由器​​和​​三层交换机​​，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障​​网络安全​​。

1）限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。 

2）提供对通信流量的控制手段。 

3）提供网络访问的基本安全手段。 

4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

①当一个数据包进入一个端口，路由器检查这个数据包是否可路由。

如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据包。

如果有，根据ACL中的条件指令，检查这个数据包。

如果数据包是被允许的，就查询路由表，决定数据包的目标端口。 

②路由器检查目标端口是否存在ACL控制流出的数据包。 

若不存在，这个数据包就直接发送到目标端口。

若存在，就再根据ACL进行取舍。然后在转发到目的端口。

总之，一入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发（如果无，则丢弃该数据包），数据进入该接口的访问控制列表（如果无访问控制规则，直接转发），然后按条件进行筛选。

当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配，那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续，直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口，而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在，所以在ACL中应该至少包含一条permit语句，否则，默认情况下，ACL将阻止所有流量。

访问控制列表的使用

ACL的使用分为两步：

(1)创建访问控制列表ACL，根据实际需要设置对应的条件项；

(2)将ACL应用到路由器指定接口的指定方向(in/out)上。

在ACL的配置与使用中需要注意以下事项：

(1)ACL是自顶向下顺序进行处理，一旦匹配成功，就会进行处理，且不再比对以后的语句，所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面，最不严格的语句放在底部。

(2)当所有语句没有匹配成功时，会丢弃分组。这也称为ACL隐性拒绝。

(3)每个接口在每个方向上，只能应用一个ACL。

(4)标准ACL应该部署在距离分组的目的网络近的位置，扩展ACL应该部署在距离分组发送者近的位置。

ACL的应用

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTTP、SNMP和NIP等。

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

实验目的：

理解ACL(访问控制列表)的使用

掌握如何配置ACL(访问控制列表)

实验要求：

实现全网互通，采用OSPF协议，然后使用ACL要求学生机可以访问web但是不能访问ftp，老师机都能访问

实验拓扑：

配置命令：

1841-8:

interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
duplex auto
speed auto
!
interface Ethernet0/0/0
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto

1841-9：

interface FastEthernet0/0
ip address 192.168.100.254 255.255.255.0
ip access-group 1 out
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.200.254 255.255.255.0
duplex auto
speed auto
!
interface Ethernet0/0/0
ip address 192.168.3.2 255.255.255.0
duplex auto
speed auto

配置OSPF：

1841-8：

router ospf 1
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0

1841-9：

router ospf 1
log-adjacency-changes
network 192.168.200.0 0.0.0.255 area 0
network 192.168.100.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0

配置完成后，查看路由表：

1841-8：

1841-9：

Ping一下

可以ping通，我们开始配置ACL

实现要求学生机不能访问ftp，可以访问web

在1841-9上配置ACL：

access-list 1 deny 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

配置完成：

我们看一下效果：

实现了要求学生机可以访问web但是不能访问ftp；

实验结束；

思科Telnet

注意：在特权模式下，思科write保存

实验拓扑：

PC地址配置：

地址配置：

Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable password 1234 //配置密码

配置telnet：

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#line vty 0 4 创建5个用户
Switch(config-line)#login
% Login disabled on line 1, until password is set
% Login disabled on line 2, until password is set
% Login disabled on line 3, until password is set
% Login disabled on line 4, until password is set
% Login disabled on line 5, until password is set
Switch(config-line)#password 5678 //配置telnet密码
Switch(config-line)#end

单交换机划分vlan​

注意：交换机与pc连接接口使用access

交换机与交换机连接接口使用trunk

​

实验拓扑：

多交换机划分vlan

实验拓扑：

实现效果同vlan之间可以互通，不同vlan之间不可以访问

配置命令：

En
Conf t
Vlan 10
Vlan 20
Int f0/1
Sw ac vl 10
Int f0/2
Sw ac vl 20
Int f0/3
Sw mo tr

利用三层交换机来实现不同vlan之间可以相互通信​

IP routing：开启三层交换机路由功能，默认是关闭的

SW1:

interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport mode trunk
!
interface FastEthernet0/4
switchport mode trunk

SW2:

interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport mode trunk
SW3:
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk

交换机端口聚合

实验拓扑：

配置命令：

interface FastEthernet0/1
!
interface FastEthernet0/2
switchport mode trunk
channel-group 1 mode on
!
interface FastEthernet0/3
switchport mode trunk
channel-group 1 mode on

同时配置多个接口：

Switch(config)#int range f0/2-3
Switch(config-if-range)#switchport mode trunk 
Switch(config)#port-channel load-balance dst-ip

实验结束；

备注：如有错误，请谅解！

此文章为本人学习笔记，仅供参考！如有重复！！！请联系本人