ACL（访问控制列表）是一种路由器配置和控制网络访问的一种有力的工具，它可控制路由器应该允许或拒绝数据包通过，可监控流量，可自上向下检查网络的安全性，可检查和过滤数据和限制不必要的路由更新，因此让网络资源节约成本的ACL配置技术在生活中越来越广泛应用。工具/原料more一台笔记本电脑一个思科模拟器软件方法/步骤1/14分步阅读

首先打开思科模拟器软件，找出两台2811类的路由器，3台交换机和4台电脑，让它们有序的排列起来，如下图所示：

2/14

关闭电源给两台路由器加上“s0/0/0”接口，打开路由器，关闭电源，点击箭头的地方，从那里拉出四个这样类的接口，拖到右边四个“物理设备视图”下的四个黑色地带，脱完了四次后，给电源加上电，同理，另外一台路由器也做相同的做法，如下图所示：

3/14

将所有的设备用线缆连接起来，路由器与路由器之间用DCE串口线连接起来，路由器与交换机之间用直通线连接起来，交换机和电脑之间用直通线连接起来，并且进入路由器每个端口，用noshutdown命令开启每个路由器的接口，并且使灯成绿色，如下图所示：

4/14

在交换机s2上建立VLAN 2和VLAN 3，将接口定为的f0/2-f0/14范围并连接到access模式下的VLAN 2，将接口定为的f0/15-f0/18范围并连接到access模式下的VLAN 3，并启用“no shutdown”命令开启，命令如下：

s2#enable

s2#conf t

Enter configuration commands, one per line. End with CNTL/Z

s2(config)#int range f0/2-f0/14

s2(config-if-range)#switchport mode access

s2(config-if-range)#switchport access vlan 2

s2(config-if-range)#no sh

s2(config-if-range)#exit

s2(config)#int range f0/15-f0/18

s2(config-if-range)#switchport mode access

s2(config-if-range)#switchport access vlan 3

s2(config-if-range)#no shut

如下图所示：

5/14

配置各台电脑的IP地址和网关，将PC0的IP地址设置为192.168.10.10 255.255.255.0 网关为 192.168.10.1 PC1的IP地址网关为 192.168.20.10 255.255.255.0 192.168.20.1， PC2的IP地址和网关设置为 192.168.30.10 255.255.255.0 192.168.30.1， PC3的IP地址和网关设置为 192.168.40.10 255.255.255.0 192.168.40.1，如下图所示：

6/14

配置路由器a，将所有的端口都配置上IP，并在端口f0/1划分出两个子接口，即为f0/1.1,和f0/1.2，并在上面配置单臂路由配置，并将它们分属到VLAN 2和VLAN 3，配置路由器的接口配置命令如下图所示：

a#conf t

Enter configuration commands, one per line. End with CNTL/Z.

a(config)#int s0/0/0

a(config-if)#description line to b-s0/0/0

a(config-if)#clock rate 64000

a(config-if)#ip add 192.168.100.1 255.255.255.0

a(config-if)#no shut

a(config-if)#int f0/0

a(config-if)#description line to s1

a(config-if)#ip add 192.168.10.1

a(config-if)#description line to vlan 10

a(config-if)#ip add 192.168.10.1 255.255.255.0

a(config-if)#no shut

a(config-if)#int f0/1

a(config-if)#no shut

a(config-subif)#int f0/1.1

a(config-subif)#encapsulation dot1Q 1 native （这里也要指明该VLAN 1 就是native vlan ，即是vlan 1）

a(config-subif)#ip add 192.168.20.1 255.255.255.0

a(config-subif)#no shut

a(config-subif)#int f0/1.2

a(config-subif)#encapsulation dot1Q 2

a(config-subif)#ip add 192.168.30.1 255.255.255.0

a(config-subif)#no shut

如下图所示：

7/14

在交换机s2配置单臂路由设置，将VLAN 1和VLAN 2配置为中继器配置，并且开启端口设置，命令如下：

s2(config-if)#int f0/1

s2(config-if)#switchport mode trunk

如下图所示：

8/14

配置路由器a的静态路由，配置命令如下：

a#enable

a#conf t

Enter configuration commands, one per line. End with CNTL/Z.

a(config)#ip route 192.168.40.0 255.255.255.0 s0/0/0

如下图所示：

9/14

配置路由b,配置命令如下：

benable

b#conf t

Enter configuration commands, one per line. End with CNTL/Z.

b(config)#int s0/0/0

b(config-if)#ip add 192.168.100.2 255.255.255.0

b(config-if)#no shut

b(config-if)#int f0/1

b(config-if)#description line to lan20

b(config-if)#ip add 192.168.40.1 255.255.255.0

b(config-if)#no shut

如下图所示：

10/14

配置路由b的静态路由，并用“show IP route”查看路由信息，配置命令如下：

b#enable

b#conf t

Enter configuration commands, one per line. End with CNTL/Z.

b(config)#ip route 192.168.10.0 255.255.255.0 s0/0/0

b(config)#ip route 192.168.20.0 255.255.255.0 s0/0/0

b(config)#ip route 192.168.30.0 255.255.255.0 s0/0/0

b(config)#end

如下图所示：

11/14

计算机互相ping一下，用PC2互相ping PC0，PC1，PC3，用PC3互相ping PC0，PC1，PC2，如下图所示表明是可以互相通信的。

12/14

现在可以做标准ACL设置了，配置PC0和PC3不可以互相通信，阻止数据的转发和接收，即是允许192.168.20.0,192.168.30.0的数据包可以通过，不允许192.168.40.0的数据包通过，打开路由器a，配置命令是：

a#enable

a#conf t

Enter configuration commands, one per line. End with CNTL/Z.

a(config)#access-list 10 permit 192.168.20.0 0.0.0.255

a(config)#access-list 10 permit 192.168.30.0 0.0.0.255

a(config)#access-list 10 deny 192.168.40.0 0.0.0.255

如下图所示：

13/14

将标准ACL应用在路由器f0/0接口上，命令是：

a#enable

a#conf t

Enter configuration commands, one per line. End with CNTL/Z.

a(config)#int f0/0

a(config-if)#ip access-group 10 out

a(config-if)#end

如下图所示：

14/14

互相用ping命令ping一下PC3和PC0可不可以通信，如下图显示，配置ACL后的PC不能互相通信。

注意事项

配置路由器时一定要全局模式。

配置各个设备时，配置命令一定要正确。

以上经验是我用了一晚的时间，根据我的经验而写成的，喜欢这篇经验的朋友请点赞，谢谢！

发觉这篇经验有什么问题的，请与我交流，谢谢！