网络配置教程（22）——锐捷、华为IP标准访问控制列表实验
网络配置教程（22）——锐捷、华为IP标准访问控制列表实验
【实现目的】
掌握路由器上标号的标准IP访问列表规则及配置。

【实训背景描述】
你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问；
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机
【实训设备】
R1700（2台），PC（3台）、直连线（3条）、V.35线（1条）
【实训内容】
（1）按照拓扑进行网络连接
（2）配置路由器接口IP地址
（3）配置路由器静态路由
（4）配置编号的IP标准访问控制列表
（5）将访问列表应用到接口
【实训拓扑图】
【实训步骤】
（1）配置路由器R1、R2接口IP地址；
记得给R1路由器的S1/2接口配置时钟。

（2）配置R1、R2静态路由；
R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
（3）R1配置编号的IP标准访问控制列表
R1(config)#access-list 1 deny 172.16.2.0 .255 ！拒绝来自172.16.2.0网段的流量通过
R1(config)#access-list 1 permit 172.16.1.0 .255 ！允许来自172.16.1.0网段的流量通过
验证测试
R1#show access-lists 1
Standard IP access list 1
1 deny 172.16.2.0 .255 (0 matches)
1 permit 172.16.1.0 .255 (0 matches)
（3）将访问列表应用到接口
R1(config)#interface Serial 1/2
R1(config-if)#ip access-group 1 out
【实训测试】
（1）用销售部主机172.16.2.8 ping财务部主机172.16.4.2，不能ping通；（2）用经理部主机172.16.1.2 ping财务部主机172.16.4.2，能ping通；（3）显示IP 列表的配置
要监控访问列表，请在特权用户模式执行以下命令：
Ruijie# show access-lists [ id | name ] //此命令可以查看IP 访问列表【实训问题】
（1）访问控制列表能否应用到其他接口，结果会怎样？
（2）为什么标准访问控制列表要尽量靠近目的地址的接口？
（3）访问控制列表应用到接口时，in和out方向有什么不同？——————————————————
华为配置：
IP地址、路由配置步骤省略；
转帖请注明出处：
/5ijsj/blog/item/51f7c7ce2e433433b600c8dd.html Packet Tracer 5.2实验文件下载
[Router2]acl number 2000
[Router2-acl-basic-2000]rule 0 deny source 172.16.2.0 .255
[Router2-acl-basic-2000]rule 1 permit source 172.16.1.0 .255 [Router2-acl-basic-2000]quit
[Router2]interface fa0/0
[Router2- fa0/0]firewall packet-filter 2000 outbound。