1.实验目的

1）理解访问控制列表（Access Control List，ACL）的概念。

图3-37 Router2上的PPP协议封装

2）了解ACL的功能和用途。

3）掌握标准ACL的配置方法。

2.实验环境

1）硬件：计算机两台，CISCO路由器1台（本书实验使用CISCO3620），CISCO配置命令线缆1条，直连网线两条。

2）软件：计算机中已装好Windows XP操作系统。

3）网络拓扑：如图3-38所示。

图3-38 网络拓扑图

3.实验说明

网络管理员经常面临必须设法拒绝那些不希望的访问连接，同时又要允许那些正常的访问连接的问题。

访问控制列表通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。

ACL的功能如下。

1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被路由器处理。

2）提供对通信流量的控制手段。

3）提供网络访问的基本安全手段。

4）在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

根据使用的判断条件不同，ACL基本上分为以下两大类。

（1）标准ACL

标准ACL的语句依据的判断条件是数据包的源IP地址，它只能过滤来自某个网络或主机的数据包，功能有限。访问列表编号为1～99。

（2）扩展ACL

扩展ACL的语句依据的判断条件是数据包的源IP地址、目的IP地址、协议及数据要访问的端口。访问列表编号为100～199。

4.实验步骤

1）用前面实验中的方法，将路由器的E0/1、E0/2、E0/3接口地址分别配置为192.168.10.1、192.168.20.1、202.81.32.1网段。

配置过程如图3-39所示。

图3-39 路由器E0/1、E0/2、E0/3接口配置

2）允许一个源的通信流量通过。

设计一个ACL，禁止外网（非192.168.0.0）主机访问内网（192.168.10.0和192.168.20.0），但允许内网主机访问外网。

(www.daowen.com)

配置过程如图3-40所示。

图3-40 ACL配置

3）将计算机的IP地址分别设为192.168.10.100、202.81.32.100，相应地用网线将它们与路由器的E0/1、E0/3口相连，两台计算机互相ping^一下，观察效果。

配置ACL之前的效果如图3-41所示。

图3-41 配置ACL前的连通性测试

配置ACL之后，外网连通性测试结果如图3-42所示。

内网连通性测试效果如图3-43所示。

4）拒绝一个特定主机的通信流量。

设计一个ACL，拒绝主机192.168.10.100访问网络192.168.20.0，但允许所有其他的数据从E0/2接口转发出去。

图3-42 配置ACL后的外网连通性测试

图3-43 配置ACL后的内网连通性测试

配置过程如图3-44所示。

图3-44 ACL配置

5）用类似本实验第三步的方法验证一下效果。

将计算机地址设为192.168.10.100时，结果不通，如图3-45所示。

图3-45 计算机地址设为192.168.10.100时的连通性测试

将计算机地址改为192.168.10.101时，结果通，如图3-46所示。

图3-46 计算机地址设为192.168.10.101时的连通性测试

5.注意事项

访问列表按照语句顺序，遇到匹配条件即执行，后面的语句就不再起作用，所以访问列表的语句顺序非常重要，设计时，一定要合理规划。

6.实验思考

当把ACL赋给端口时，要注意数据流方向。将上面实验命令中的in改为out，out改为in，会出现什么现象？