Cisco Packet Tracer中思科模拟器标准访问控制列表的配置（ACL）

原创已于 2023-03-26 17:41:24 修改 · 7.2k 阅读

97 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#网络

于 2022-09-12 18:07:09 首次发布

六、网络安全技术实现专栏收录该内容

7 篇文章

订阅专栏

本文介绍了如何通过配置标准IP访问控制列表（ACL）来增强网络安全性，特别是禁止销售部PC2访问财务部PC3的数据流量，同时允许经理部不受限制地访问。通过在Cisco2911路由器上设置ACL，可以有效地管理网络流量并保护敏感信息。

IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。主要分为标准IP访问列表、扩展IP访问列表和命名访问控制列表等。

情境分析

公司的财务部门涉及到企业许多重要的财务信息和数据，因此保障公司管理部门的安全访问，减少普通部门对财务部的访问很有必要，这样可以尽可能地减少网络安全隐患。

在路由器上应用标准访问控制列表，对访问财务部的数据流量进行限制，禁止销售部访问财务部的数据流量通过，但对经理部的访问不做限制，从而达到保护财务部主机安全的目的。

所需设备：

（1）Cisco 2911路由器2台。

（2）PC机3台。

（3）直通线3条。

（4）交叉线1条。

（5）Console配置线1条。

任务拓扑，如图5-2-1所示。

图5-2-1 标准访问控制列表配置

路由器和PC的IP地址及端口信息，如表5-2-1所示。

表5-2-1 路由器和PC的IP地址及端口信息表

设备	端口	IP地址	子网掩码	默认网关
Router-A	Gig0/0	192.168.1.254	255.255.255.0
	Gig0/1	192.168.2.254	255.255.255.0
	Gig0/2	192.168.10.1	255.255.255.0
Router-B	Gig0/0	192.168.3.254	255.255.255.0
Router-B	Gig0/1	192.168.10.2	255.255.255.0
PC1	Fa0	192.168.1.1	255.255.255.0	192.168.1.254
PC2	Fa0	192.168.2.1	255.255.255.0	192.168.2.254
PC3	Fa0	192.168.3.1	255.255.255.0	192.168.3.254

步骤实现

步骤1：按照如图5-2-1所示，连接网络拓扑结构图。

步骤2：按照如表5-2-1所示，配置计算机的IP地址、子网掩码和网关。

步骤3：配置路由器Router-A的主机名称和接口IP地址。

Router>enable

Router#config t

Router(config)#hostname Router-A  修改主机名称

Router-A(config)#int g0/0

Router-A(config-if)#ip address 192.168.1.254 255.255.255.0  配置ip和子网

Router-A(config-if)#no shutdown

Router-A(config)#int g0/1

Router-A(config-if)#ip address 192.168.2.254 255.255.255.0

Router-A(config-if)#no shutdown 打开端口

Router-A(config)#int g0/2

Router-A(config-if)#ip address 192.168.10.1 255.255.255.0

Router-A(config-if)#no shutdown

Router-A(config-if)#exit

Router-A(config)#

步骤4：配置路由器Router-B的主机名称和接口IP地址。

Router>enable

Router#config t

Router(config)#hostname Router-B

Router-B(config)#int g0/1

Router-B(config-if)#ip address 192.168.10.2 255.255.255.0

Router-B(config-if)#no shutdown

Router-B(config)#int g0/0

Router-B(config-if)#ip address 192.168.3.254 255.255.255.0

Router-B(config-if)#no shutdown

Router-B(config-if)#exit

Router-B(config)#

步骤5：在路由器Router-A和路由器Router-B上配置静态路由。

Router-A(config)#ip route 192.168.3.0 255.255.255.0 192.168.10.2
Router-B(config)#ip route 192.168.1.0 255.255.255.0 192.168.10.1  配置下一跳，实现网络互通
Router-B(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.1

http://t.csdn.cn/PNFaW 静态路由下一跳讲解

步骤6：验证网络的连通性，测试PC2（销售部）到PC3（财务部）的通信，

步骤7：配置标准访问控制列表，禁止PC2（销售部）访问PC3（财务部）。

Router-B(config)#access-list 10 deny 192.168.2.0 0.0.0.255

                     ！配置标准ACL规则：列表号为10，禁止192.168.2.0网段主机的流量

Router-B(config)#access-list 10 permit any                 ！允许其它所有的流量

Router-B(config)#int g0/0                                         ！进入端口

Router-B(config-if)#ip access-group 10 out         ！将访问控制列表应用到路由器Router-B的g0/0端口的出口方向

Router-B(config-if)#exit

Router-B(config)#

学习小结

ACL配置：
conf t
access-list 1 permit 192.168.0.0 0.0.255.255
创建列表1，允许192.168.0.0/16网段访问

access-list 1 deny any  拒绝其他网段访问
Router-B(config)#access-list 10 permit any          ！允许其它所有的流量
Router-B(config)#access-list 10 deny 192.168.2.0 0.0.0.255
                     ！配置标准ACL规则：列表号为10，禁止192.168.2.0网段主机的流量
    
interface vlan 20  进入接口
Router-B(config-if)#ip access-group 10 out     
！将访问控制列表应用到路由器Router-B的g0/0端口的出口方向

定义接口是内部接口还是外部命令
interface f0/0
ip nat inside          内部接口
ip nat outside   外部接口

ZB-RT-01(config)#ac
ZB-RT-01(config)#access-list 5 p
ZB-RT-01(config)#access-list 5 permit 172.16.0.0 0.0.127.255

地址转换，端口复用
ip nat inside source list 5 interface GigabitEthernet0/0 overload
ZB-RT-01(config)#ip nat inside source list 5 interface gigabitEthernet 0/0 overload 

Switch(config)#no access-list 1  删除acl 1

每日一言：

未经审视的人生是不值得过的。 --苏格拉底