怎样配置Cisco路由器ACL访问控制列

　　访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。
　　第一阶段实验：配置实验环境，网络能正常通信
　　R1的配置：
　　复制代码
　　代码如下:
　　R1>en
　　R1#conf t
　　R1(config)#int f0/0
　　R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
　　R1(config-if)#int loopback 0
　　R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
　　R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
　　R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
　　R1(config-line)#login local
　　SW1的配置：
　　复制代码
　　代码如下:
　　SW1>en
　　SW1#vlan data
　　SW1(vlan)#vlan 2
　　SW1(vlan)#vlan 3
　　SW1(vlan)#vlan 4
　　SW1(vlan)#vlan 100
　　SW1(vlan)#exit
　　SW1#conf t
　　SW1(config)#int f0/1
　　SW1(config-if)#no switchport
　　SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
　　SW1(config-if)#exit
　　SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
　　SW1(config-if-range)#switchport trunk encapsulation dot1qSW1(config-if-range)#switchport mode trunkSW1(config-if-range)#no shut
　　SW1(config-if-range)#exit
　　SW1(config)#int vlan 2
　　SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
　　SW1(config-if)#int vlan 3
　　SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
　　SW1(config-if)#int vlan 4
　　SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
　　SW1(config-if)#int vlan 100
　　SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
　　SW1(config-if)#exit
　　SW1(config)#ip routing
　　SW1(config)#int vlan 1
　　SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
　　SW1(config-if)#exit
　　SW1(config)#username benet password testSW1(config)#line vty 0 4
　　SW1(config-line)#login local
　　SW2的配置：
　　复制代码
　　代码如下:
　　SW2>en
　　SW2#vlan data
　　SW2(vlan)#vlan 2
　　SW2(vlan)#vlan 3
　　SW2(vlan)#vlan 4
　　SW2(vlan)#exit
　　SW2#conf t
　　SW2(config)#int f0/15
　　SW2(config-if)#switchport mode trunk
　　SW2(config-if)#no shut
　　SW2(config-if)#exit
　　SW2(config)#int f0/1
　　SW2(config-if)#switchport mode access
　　SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
　　SW2(config-if)#int f0/2
　　SW2(config-if)#switchport mode access
　　SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
　　SW2(config-if)#int f0/3
　　SW2(config-if)#switchport mode access
　　SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
　　SW2(config-if)#int vlan 1
　　SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
　　SW2(config-if)#exit
　　SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
　　SW2(config)#username benet password testSW2(config)#line vty 0 4
　　SW2(config-line)#login local
　　SW3的配置：
　　复制代码
　　代码如下:
　　SW3>en
　　SW3#vlan data
　　SW3(vlan)#vlan 100
　　SW3(vlan)#exit
　　SW3#conf t
　　SW3(config)#int f0/15
　　SW3(config-if)#switchport mode trunk
　　SW3(config-if)#no shut
　　SW3(config-if)#int f0/1
　　SW3(config-if)#switchport mode access
　　SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
　　SW3(config-if)#int vlan 1
　　SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
　　SW3(config-if)#exit
　　SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
　　SW3(config)#username benet password testSW3(config)#line vty 0 4
　　SW3(config-line)#login local
　　网络管理区主机PC1 (这里用路由器模拟)
　　复制代码
　　代码如下:
　　R5>en
　　R5#conf t
　　R5(config)#int f0/0
　　R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
　　R5(config-if)#exit
　　R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
　　财务部主机PC2配置IP:
　　IP地址：192.168.3.2 网关：192.168.3.1
　　信息安全员主机PC3配置IP:
　　IP地址：192.168.4.2 网关：192.168.4.1
　　服务器主机配置IP:
　　IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：
　　所有部门之间的主机均能互相通信并能访问服务器和外网(测试方法：用PING命令)
　　在所有主机上均能远程管理路由器和所有交换机。(在PC主机上用telnet命令)
　　第二阶段实验：配置ACL实现公司要求
　　1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置：
　　复制代码
　　代码如下:
　　R1#conf t
　　R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
　　R1(config-line)#access-class 1 in
　　SW1的配置
　　复制代码
　　代码如下:
　　SW1#conf t
　　SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
　　SW1(config-line)#access-class 1 in
　　SW2的配置
　　复制代码
　　代码如下:
　　SW2#conf t
　　SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
　　SW2(config-line)#access-class 1 in
　　SW3的配置
　　复制代码
　　代码如下:
　　SW3#conf t
　　SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
　　SW3(config-line)#access-class 1 in
　　验证：在PC1可以远程TELNET管理路由器和交换机，但在其他主机则被拒绝telnet
　　2、内网主机都可以访问服务器，但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器，外网只能访问服务器80端口。
　　在SW1三层交换机上配置扩展ACL
　　3、192.168.3.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他部门网段，也不能访问外网。
　　在SW1三层交换机上配置扩展ACL
　　4、192.168.4.0/24网段主机可以访问服务器，可以访问管理员网段，但不能访问其他部门网段，可以访问外网。
　　在SW1三层交换机上配置扩展ACL
　　以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列，希望能帮到大家。