ACL（通路控制清單）（一)

通路控制清單———ACL

• ACL (通路控制清單)案例
• • 實驗拓撲圖
  • [IP位址規劃表]
  • 【案例實施】
  • • 基本配置
    • • 1.1 路由器Router1基本配置
      • 1.2 Router2 的基本配置
    • 配置RIP
    • 使用ping指令驗證網絡是否連通
    • 使用标準通路控制清單

ACL（通路控制清單）：控制網絡流量，按規則過濾資料封包，提高網絡安全性
           

本文中所用的軟體為：Cisco Packet Tracer 6.3

本次實驗先不配置兩層交換機，隻配置路由器，采用動态路由協定。

後期的文章中會有配置交換機的實驗步驟

ACL (通路控制清單)案例

某公司網絡中，行政部、銷售部和财務部門分别屬于不同的3個子網，3個子網之間使用路由器進行互聯。

行政部所在的子網為172.16.1.0/24，銷售部所在的子網為172.16.2.0/24，财務部所在的子網為172.16.4.0/24。

考慮到資訊安全的問題，要求銷售部門不能對财務部門進行通路，但行政部可以對财務部門進行通路。

實驗拓撲圖

[IP位址規劃表]

Router 1 和Router 2 的IP位址與 PC 1 、PC 2、PC 3 的網關相同

【案例實施】

基本配置

1.1 路由器Router1基本配置

Router 1:
Router1>
Router1>en
Router1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#int f0/0
Router1(config-if)#ip add 172.16.1.2 255.255.255.0
Router1(config-if)#no shut

Router1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router1(config-if)#
Router1(config-if)#exit
Router1(config)#
Router1(config)#int f1/0
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no shut

Router1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up

Router1(config-if)#ex
Router1(config)#int s2/0
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no shut

%LINK-5-CHANGED: Interface Serial2/0, changed state to down
Router1(config-if)#ex
Router1(config)#ex
Router1#ex

           

配置完Router 1 需要檢查一下接口配置和狀态

驗證測試:驗證接口的配置和狀态

Router1#show ip interface brief

由于Router1 隻使用了三個接口(F0/0、F0/1、s2/0) 是以隻有三個接口顯示配置狀态

注意觀察接口IP位址和子網路遮罩以及是否啟用（狀态up）

通過檢視接口的配置可以得到：Router1 F 0/0 接口是開啟的，F 1/0 接口是開啟的，s 2/0 接口是關閉的的

1.2 Router2 的基本配置

Router 2：
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router2(config)#int s2/0
Router2(config-if)#ip add 172.16.3.2 255.255.255.0
Router2(config-if)#no shut

Router2(config-if)#
Router2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up

Router2(config-if)#ex
Router2(config)#int f0/0
Router2(config-if)#ip add 172.16.4.2 255.255.255.0
Router2(config-if)#no shut

Router2(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router2(config-if)#ex
Router2(config)#ex
Router2#ex


           

配置完Router 2 需要檢查一下接口配置和狀态

驗證測試:驗證接口的配置和狀态

Router2#show ip interface brief

注意觀察接口IP位址和子網路遮罩以及是否啟用（狀态up）

配置完這步之後，實驗拓撲圖為以下狀态：

配置RIP

本實驗中需要配置動态路由選擇協定(RIP)

Router 1 配置 RIP

Router1>
Router1>en
Router1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#router rip   ! 開啟rip協定程序
Router1(config-router)#network 172.16.1.0  ! 申明本裝置的直連網段
Router1(config-router)#network 172.16.2.0 
Router1(config-router)#network 172.16.4.0 
Router1(config-router)#version 2           ! 定義rip協定v2
Router1(config-router)#no auto-summary     ! 關閉路由資訊的自動彙總
Router1(config-router)#
           

Router 2 配置 RIP

Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router2(config)#router rip
Router2(config-router)#network 172.16.1.0
Router2(config-router)#network 172.16.2.0
Router2(config-router)#network 172.16.4.0
Router2(config-router)#version 2
Router2(config-router)#no auto-summary
Router2(config-router)#ex
Router2(config)#ex
Router2#ex
           

使用ping指令驗證網絡是否連通

之後我們要對這三台主機互相進行網絡連通測試，可以在指令行使用Ping指令來互相Ping其他主機的IP位址，如果可以Ping通，則說明兩個主機之間的網絡是可以連通的，即可以互相通路，如果不通，則不能互相通路。

下面講解 如何在Cisco Packet Tracer 中進入指令行界面，并使用Ping 指令進行網絡連通測試

此時我們點選一個PC機（例如PC1），點選Desktop 進入以下界面

點選 Command Prompt 進入指令行界面

打開之後 在指令行輸入 ping 172.16.4.1

顯示以下界面 則為ping通

需要檢視每台PC 是否都可以ping通

PC1 ping PC3

ping 172.16.4.1

PC1 ping PC2

ping 172.16.2.1

按照上面的步驟進入PC2 的指令行界面

輸入ping 指令

例如

PC2 ping PC3

ping 172.16.4.1

PC2 ping PC1

ping 172.16.1.1

按照上面的步驟進入PC3 的指令行界面

輸入ping 指令

例如

PC3 ping PC1

ping 172.16.1.1

PC3 ping PC2

如上圖全部可以ping通

配置動态路由協定成功

使用标準通路控制清單

Router2>en
Router2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255        
Router2(config)#access-list permit 172.16.1.0 0.0.0.255
Router2(config)#int f 0/0   
Router2(config-if)#ip access-group 1 out
Router2(config-if)#ex
Router2(config)#ex
Router2#
           

在上述指令中

Router2(config)#int f 0/0 指令中的接口為：

配置的Router 2 上連着PC 3 交換機的接口

測試

用PC2 ping PC4

如下圖所示

則表明 PC2 不能通路PC4 即 銷售部不能通路财政部

用PC1 ping PC4 如下圖所示

則表明 PC1 能通路PC4 即 行政部能通路财政部

上述結果達到了要求：

要求銷售部門不能對财務部門進行通路，但行政部可以對财務部門進行通路