思科网络中如何配置标准ACL协议

一、什么是标准ACL协议？有什么作用及配置方法？

（1）标准ACL（Access Control List）协议是一种用于控制网络设备上数据流进出的协议。标准ACL基于源IP地址来过滤数据流，可以允许或拒绝特定IP地址范围的数据包通过。

（2）标准ACL的作用包括：

控制流量：可以限制特定的IP地址或IP地址范围的数据流进出网络设备，提高网络安全性。
管理网络资源：可以根据需求对网络资源进行有效的分配和管理。

（3）标准ACL的配置方法如下：

进入特定网络设备的全局配置模式（conf t）。
使用命令行配置ACL规则，例如：
- 允许特定IP地址范围通过：access-list <ACL号> permit <源IP地址>
- 拒绝特定IP地址范围通过：access-list <ACL号> deny <源IP地址>
将ACL应用到特定接口的进出方向，例如：
- 应用到入方向：ip access-group <ACL号> in
- 应用到出方向：ip access-group <ACL号> out

需要注意的是，ACL规则的顺序很重要，应该按照从最具体到最宽泛的顺序配置规则，以避免规则冲突或意外的数据流限制。

二、下面我们通过一个简单的拓扑图来让大家更好的理解标准ACL的配置

第一步：根据图中提供的网段地址，为每台PC机以及路由器填上对应的IP地址

根据每台PC机所处的位置配置地址，这里可以统一给他们的地址为.1 / .2（每个IP网段共有254个地址是可以分配给PC机的，分别是第1~254，IP地址中的第一个地址.0是网络地址（保留地址），IP网段的最后一个地址.255是广播地址（保留地址）

由图可知，上述4台PC机以及2台服务器分别处在三个不同的网段中，因此题目中拓扑的PC机及服务器的IP规划我将这样规划：

PC0：192.168.1.1（IP地址），255.255.255.0（子网掩码）

PC1：192.168.1.2（IP地址），255.255.255.0（子网掩码）

PC2：192.168.2.1（IP地址），255.255.255.0（子网掩码）

PC3：192.168.2.2（IP地址），255.255.255.0（子网掩码）

Server1:192.168.3.1（IP地址），255.255.255.0（子网掩码）

Server2:192.168.3.2（IP地址），255.255.255.0（子网掩码）

第二步，规划路由器对应接口的IP地址

1. 通常情况下，连接交换机及PC机处的fa0/0接口要配的是254（表示允许这个网段的的所有PC机通过）；但是这里题目要求路由器Router0要配置单臂路由，所以其fa0/0接口下我将不做任何配置，只需要打开fa0/0接口即可，ip地址的配置将在下面提到；Router1则照常完成其物理端口的配置（Router0的se0/0接口也正常配置）。

命令：

（1）路由器Router0上的配置

Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown（开启接口）
Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown

（2）路由器Router1上的配置

Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 192.168.3.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.0
Router(config-if)#no shutdown

三、LAN1的PC划分到两个VLAN：VLAN 10、VLAN 20，配置单臂路由使得VLAN之间互通

（1）在交换机Switch0上创建两个VLAN ,按图示将PC划分到VLAN10、VLAN20中：

Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 10（创建一个vlan编号为10的虚拟局域网）
Switch(config-vlan)#name vlan10（为VLAN10命名，可以用来标识VLAN的用途或名称；这一步也可以不配置）
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan20
Switch(config-vlan)#int fa0/1
Switch(config-if)#switchport mode access（设置接口fa0/1为访问模式，即用于连接终端设备）
Switch(config-if)#switchport access vlan 10（将接口fa0/1划分到VLAN10中，表示该接口连接的设备属于VLAN10）
Switch(config-if)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

（2）将交换机Switch0与路由器Router0互联链路配置成TRUNK链路，并允许相应VLAN通过

Switch(config)#int fa0/24
Switch(config-if)#switchport mode trunk（将该接口配置为trunk模式，表示该接口将用于传输多个VLAN的数据）
Switch(config-if)#switchport trunk allowed vlan all（允许该trunk链路通过所有VLAN的数据传输，不对VLAN进行限制）

四、路由器上配置相应路由，使得全网互通

1. 在路由器Router0上的配置

（1）在Router0上配置单臂路由，使得全网PC互通

Router(config-if)#int fa0/0.1（进入FastEthernet 0/0接口的子接口1配置模式，这里的子接口号可以使其他的，只要配置的时候能区分好VLAN区域就行）
Router(config-subif)#encapsulation dot1Q 10（配置子接口1的VLAN封装类型为802.1Q，并指定VLAN ID为10）
Router(config-subif)#ip add 192.168.1.254 255.255.255.0（为子接口1配置IP地址为192.168.1.254，子网掩码为255.255.255.0）

Router(config-subif)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.2.254 255.255.255.0
Router(config-subif)#exit

（2）在Router0上完成环回接口、ospf协议及静态路由的配置

Router(config)#int loopback 0
Router(config-if)#ip add 1.1.1.1 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.1.0 255.255.255.0 area 0
Router(config-router)#network 192.168.2.0 255.255.255.0 area 0
Router(config-router)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2（静态路由，8个0 + 下一跳地址）

2. 在路由器Router1上的配置

（1）在Router1上完成环回接口、ospf协议及静态路由的配置

Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int loopback 0
Router(config-if)#ip add 2.2.2.2 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.3.0 255.255.255.0 area 0

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1（静态路由，8个0 + 下一跳地址）

3.全网互通，完成题目要求二

五、在Router0路由器上配置标准ACL，要求按下面要求配置即可：

（1）了解ACL的详细配置指南及原理

1. ACL配置流程：

2. 通配符掩码规则：

3. ACL出接口的配置选择：

（2）完成题目要求的标准ACL配置

1. VLAN 10中IP地址主机位为奇数的PC可以访问LAN2的服务器，其他PC不能访问；

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#access-list 1 permit 192.168.1.1 0.0.0.254（创建了一个名为1【可以使1-99之间的任意数字】的访问控制列表（ACL），这条命令允许VLAN 10中IP地址主机位为奇数的PC（例如192.168.1.1、192.168.1.3、192.168.1.5等）访问LAN2的服务器。）

Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255（添加拒绝规则，阻止其他PC访问LAN2的服务器）

Router(config)#exit

注意：

1. 上面的permit与deny两条命令顺序不能调换，因为ACL命令是顺序优先原则，由上到下匹配的；

2. 如果题目要求是只允许主机位为偶数的PC机通过，则可以这样配置：Router(config)#acces#-li#t 10 permit 192.168.1.0 0.0.0.254（也可以是192.168.1.2/192.168.1.4等等，只要最后一位是偶数即可）

补充：

在ACL中使用通配符时，通配符的作用是指定一个范围。在这种情况下，0.0.0.254的通配符表示只匹配IP地址的最后一个位为0或1的地址。这样做是为了确保只有主机位为奇数的IP地址（即最后一位为1的IP地址）被允许通过ACL，而主机位为偶数的IP地址（即最后一位为0的IP地址）被拒绝。

在IPv4地址中，每个IP地址由32位组成，分为网络位和主机位。在ACL中，我们可以使用通配符来匹配特定的IP地址范围。通配符中的1表示"匹配"，0表示"不匹配"。因此，0.0.0.254的通配符会匹配最后一位为0或1的IP地址，即奇数位（偶数位）的IP地址。

2. VLAN20中除了第一台PC可以访问服务器，其他PC均不能访问LAN2的服务器。

Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit host 192.168.2.1（创建一个标准ACL（ACL编号为1），表示只允许主机位为192.168.2.1的主机通过ACL）
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255（这条命令在ACL 1中追加创建了一个拒绝规则，拒绝IP地址范围为192.168.2.0 - 192.168.2.255的所有主机通过ACL，0.0.0.255表示匹配192.168.2.0/24网段中的所有IP地址）
Router(config)#int s0/0
Router(config-if)#ip access-group 1 out（这条命令将ACL 1应用于Serial 0/0接口的出方向；

out关键字表示ACL应用于出方向，即从该接口发送出去的数据流会受到ACL的影响。）

注意：ip access-group 1 out也可以在要求（1）中就配置，表示启动ACL 1上的配置）