实验步骤第三步：把访问控制 列表在接口下应用
• R1(config)# interface fastEthernet 1 • R1(config-if)#ip access-group 1 out ! 在接口下访问控制列表出栈流量调 用 • 验证测试：show ip access-lists 1
PING测试与注意事项
编号的标准IP访问列表
• 【背景描述】 • 你是一个公司的网络管理员，公司的 经理部、财务部门和销售部门分属不同 的三个网段，三部门之间用路由器进行 信息传递，为了安全起见，公司领导要 求销售部门不能对财务部门进行访问， 但经理部可以对财务部门进行访问。
实验拓扑
192.168.1.1/24 销售部门 F0 192.168.2.1/24 F3 192.168.3.1/24
编号的标准IP访问控制列表
• 访问控制列表介绍 • 访问控制列表ACL（ Access Control list）是一个有序的语句集，它通过匹配 报文中信息与访问表参数，来允许报文 通过或拒绝报文通过某个接口。通过定 义一些准则对经过路由器接口上的数据 报文进行控制：转发或丢弃。 对于路由 器、三层交换机接口，一个访问表必须 在创建之后应用到某个接口上，它才能 产生作用。
实验步骤第二步：配置标准IP 访问控制列表
• R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255 ! 拒绝来自 192.168.1.0网段的流量通过 • R1(config)#access-list 1 permit 192.168.3.0 0.0.0.255 ! 允许来自 192.168.3.0网段的流量通过 • 验证测试：show access-lists 1
• 把三台PC的网关设置成与之相连的接口的IP， IP设置成与网关在同一网段的与网关不一样的 地址，然后相互ping并查看ping结果。 • 【注意事项】
• 注意在访问控制列表的网络掩码是反掩码； • 标准控制列表要应用在尽量靠近目的地址的接口； •
F1
财务部门
经理
access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 deny 192.168.1.0 0.0.0.255
实验步骤第一步：基本配置
• • • • • • • • • • • • • • • 第一步：基本配置 Red-Giant>enable Red-Giant#configure terminal Red-Giant(config)#hostname R1 R1(config)# interface fastEthernet 0 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(config)# interface fastEthernet 1 R1(config-if)#ip add 192.168.2.1 255.255.255.0 R1(config-if)#no sh R1(config)#interface fastEthernet 3 R1(config-if)#ip add 192.168.3.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#end 测试命令：show ip interface brief ！观察接口状态
• 我要把访问控制列表应用在F0接口，怎 样写列表，怎样实现？ • 如果使用三层交换机怎样实现？
编号的标准IP访问控制列表
• 访问控制列表介绍 • 认证输入数据流的定义可以基于网络地址、 TCP/UDP的应用等 • ACL的类型主要分为IP标准访问控制列表和 IP扩展访问控制列表;主要动作为允许 （permit）和拒绝（deny）；主要的应用方 法是入栈（in）应用和出栈（out）应用 • 实现访问控制列表有两种方式：编号的访问控 制列表和命名的访问控制列表