配置IP ACL

實驗1 配置标準 IP ACL

【實驗步驟】

步驟 1 R1 基本配置。

R1#configure terminal

R1 (config)#interface fastEthernet 1/0

R1 (config-if)#ip address 172.16.1.1 255.255.255.0

R1 (config-if)#exit

R1 (config)#interface fastEthernet 1/1

R1 (config-if)#ip address 172.16.2.1 255.255.255.0

R1 (config)#interface serial 1/2

R1 (config-if)#ip address 172.16.3.1 255.255.255.0

步驟 2 R2 基本配置。

R2#configure terminal

R2 (config)#interface serial 1/2

R2 (config-if)#ip address 172.16.3.2 255.255.255.0

R2 (config-if)#exit

R2 (config)#interface fastEthernet 1/0

R2 (config-if)#ip address 172.16.4.1 255.255.255.0

步驟 3 檢視 R1、R2 接口狀态。

R1#show ip interface brief

Interface IP-Address(Pri) OK? Status

serial 1/2 172.16.3.1/24 YES UP

serial 1/3 no address YES DOWN

FastEthernet 1/0 172.16.1.1/24 YES UP

FastEthernet 1/1 172.16.2.1/24 YES UP

Null 0 no address YES UP

R2#show ip interface brief

serial 1/2 172.16.3.2/24 YES UP

FastEthernet 1/0 172.16.4.1/24 YES UP

FastEthernet 1/1 no address YES DOWN

步驟 4 在 R1、R2 上配置靜态路由。

R1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2

R2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2

R2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2

實驗 19 配置标準 IP ACL ·68·

步驟 5 配置标準 IP ACL。

對于标準 IP ACL，由于隻能對封包的源 IP 位址進行檢查，是以為了不影響源端的其他 通

信，通常将其放置到距離目标近的位置，在本實驗中是 R2 的 F1/0 接口。

R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255

！拒絕來自銷售部 172.16.2.0/24 子網的流量通過

R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255

！允許來自行政部 172.16.1.0/24 子網的流量通過

步驟 6 應用 ACL。

R2(config)#interface fastEthernet 1/0

R2(config-if)#ip access-group 1 out

步驟 7 驗證測試。

在行政部主機（172.16.1.0/24）ping 财務部主機，可以 ping 通。在銷售部主機（172.16.2.0/24）

ping 财務部主機，不能 ping 通。

實驗二 配置擴充 IP ACL

實驗 20 配置擴充 IP ACL ·73·

R1 (config)#ip route 172.16.4.0 255.255.255.0 serial 1/2

R2 (config)#ip route 172.16.1.0 255.255.255.0 serial 1/2

R2 (config)#ip route 172.16.2.0 255.255.255.0 serial 1/2

步驟 5 配置擴充 IP ACL。

對于擴充 IP ACL，由于可以對資料包中的多個元素進行檢查，是以可以将其放置到距離源

端近的位置，在本實驗中是 R1 的 S1/2 接口。

R1 (config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp

R1 (config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq

ftp-data

！允許來自宿舍網 172.16.1.0/24 子網的到達 FTP Server （ 172.16.4.2 ）的流量

R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp

R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq

！允許來自教工網 172.16.2.0/24 子網的到達 FTP Server （ 172.16.4.2 ）的流量

R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.3 eq www

！允許來自教工網 172.16.2.0/24 子網的到達 WWW Server（172.16.4.3）的流量

步驟 6 應用 ACL

R1 (config-if)#ip access-group 100 out

步驟 7 在主機上安裝 FTP Server 和 WWW Server。

步驟 8 驗證測試。

在宿舍網主機上可以通路 FTP Server，但是不能通路 WWW Server。在教工網主機

（172.16.2.0/24）上 FTP Server 和 WWW Server 都可以通路到。