08 利用路由器实现网络数据的筛选

08利用路由器实现网络数据的筛选学习访问控制列表基本原理01访问控制列表简介与设计要点

访问控制列表简介ACL利用三层技术高效控制数据，依据IP地址等信息过滤、分类和删除数据，实现网络访问控制。

设计要点设计ACL配置时需考虑检查过滤数据包、控制路由流量、匹配NAT流量及策略路由，确保网络管理高效灵活。

自上而下的处理方式访问控制列表配置默认有序列号排序，需考虑语句顺序，匹配范围由小到大，一条规则匹配成功后不再匹配后续语句。

添加表项添加的语句一般自动放入控制列表末尾，也可在语句前放置序号提前放置，但不能覆盖已存在序号。访问控制列表简介与设计要点访问控制列表放置位置基本访问控制列表放置在距离目的节点较近位置，高级访问控制列表放置在离源地址较近位置。应用方向访问控制列表应用在路由器接口，分为对进入接口数据匹配和对离开接口数据匹配。注意事项所有规则不匹配时，普通数据路由转发，Telnet和路由过滤数据不允许转发，需有效设计语句。数据匹配（反掩码）

ACL命令解析反掩码是网络地址后的反向数字串，1对应位可不匹配，0对应位须完全匹配，32位运算告知路由器匹配地址位。

网络地址与反掩码网络地址通过网络号与掩码运算确定范围，同一范围内为局域网用户，ACL用反掩码精细确定需过滤用户。

反掩码与网络号的关系反掩码与网络号完全相反，掩码对应网络地址得网络范围，反掩码对应网络地址可匹配筛选范围。访问控制列表的类型

访问控制列表类型访问控制列表分为基本、高级和二层类型。基本ACL匹配源IP等，高级ACL匹配源/目的IP、端口等，二层ACL匹配MAC地址等。

访问控制列表编号范围基本访问控制列表号2000~2999，高级3000~3999，二层4000~4999。访问控制列表配置应用方法02学习情境

学习情境小张跟随王师傅指导，于模拟器实践网络拓扑搭建，深入掌握访问控制列表配置技巧及差异。

实践内容重点学习访问控制列表基础，体验不同类型的配置流程，理解其功能与应用区别。子任务1利用基本ACL实现数据筛选：搭建网络拓扑

网络拓扑与配置目标使用图8-2网络拓扑演示基本ACL应用，通过路由器过滤数据，仅允许管理员计算机PC1访问服务器。子任务1利用基本ACL实现数据筛选：搭建网络拓扑计算机和路由器接口的网络参数

网络拓扑搭建通过R1与R2的G0/0/0接口互联，E1/0/0与G0/0/1连接不同网段，PC1、PC2及Server1接入相应网段，配置IP与网关实现通信。

设备接口参数R1的G0/0/0与E1/0/0，R2的G0/0/0与G0/0/1设定IP地址，PC1、PC2、Server1配置IP与默认网关，确保网络连通性。子任务1利用基本ACL实现数据筛选：配置网络参数配置R1的接口地址

进入R1的GigabitEthernet0/0/0接口，配置IP地址24；进入Ethernet1/0/0接口，配置IP地址25。配置R2的接口地址

R2的GigabitEthernet0/0/0接口地址为/24，GigabitEthernet0/0/1接口地址为/24。子任务1利用基本ACL实现数据筛选步骤3配置路由在路由器R1和R2上配置静态路由确保全网通信，R1配置24网段路由指向，R2配置24网段路由指向。测试网络通信主要测试两台计算机能否访问服务器，如果配置没有错误，应该是能够正常访问，测试过程请读者自行操作。子任务1利用基本ACL实现数据筛选：配置基本ACL

配置基本ACL配置基本ACL，允许PC1访问服务器，基于源IP过滤，应用于R1的G0/0/1接口出站方向。子任务1利用基本ACL实现数据筛选：配置基本ACL编写基本ACL规则

子任务1创建基本ACL2000，允许源IP0数据，随后规则拒绝所有其他数据，确保非特许数据无法通过。子任务1利用基本ACL实现数据筛选：配置基本ACL应用基本ACL于路由器接口将基本ACL应用到路由器R1的G0/0/1接口出去的方向，命令为[R1-GigabitEthernet0/0/1]traffic-filteroutboundacl2000。子任务1利用基本ACL实现数据筛选：配置基本ACL测试与查看信息

子任务1配置基本ACL，允许源地址0访问，拒绝其他，共匹配23个数据包。

测试通信PC1与Server1通信正常，PC2与Server1通信中断，验证ACL效果。子任务2利用基本ACL控制Telnet数据筛选Telnet登录控制通过基本ACL限制特定计算机远程登录R1，保障网络安全，精准控制Telnet数据流。ACL配置位置不同于普通数据流，Telnet控制的ACL需配置于R1的VTY入站方向，精确管理远程登录源。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY

开启R1的VTY设置VTY接口，配置登录密码为"huawei"，限制远程访问安全。

测试Telnet登录在R2与PC3上尝试Telnet登录R1，验证ACL效果，确保数据筛选准确。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY

在R2上登录R1在R2上执行telnet命令，尝试连接后进行登录认证，输入密码后成功登录到R1。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY在PC3上登录R1

Telnet登录R1PC3成功Telnet至R1,显示登录认证界面,输入密码后登录成功。配置基本ACL目标为仅许可PC3使用Telnet访问R1,需设定相应ACL规则。子任务2利用基本ACL控制Telnet数据筛选

配置基本ACL在路由器R1上配置ACL2001，规则5允许源0，规则10拒绝所有源，应用到VTY0-4入站方向。子任务2利用基本ACL控制Telnet数据筛选：测试R2尝试登录R1失败R2尝试telnet登录，提示不能连接到远程主机，登录失败。PC3成功登录R1PC3通过telnet连接，尝试连接后成功建立连接，经登录认证输入密码，最终登录R1成功。ACL配置影响R2无法用Telnet命令登录R1，PC3可以，说明配置的ACL生效。子任务3利用高级ACL实现数据筛选

高级ACL应用针对复杂需求，如特定计算机访问权限控制，高级ACL提供详细规则制定，实现精准数据筛选。

基本ACL局限仅源地址匹配，无法满足精细化管理，如限制特定类型数据或特定计算机访问，需升级至高级ACL策略。子任务3利用高级ACL实现数据筛选

搭建网络拓扑因eNSP模拟器PC不支持ftp命令，用路由器模拟计算机，修改图8-2网络拓扑，以两台路由器替代PC1和PC2（图8-4）。子任务3利用高级ACL实现数据筛选：配置高级ACL步骤1配置网络参数

网络配置按表8-4配置IP参数，确保全网通信，PC1、PC2设默认路由至。

高级ACL利用高级ACL实现数据筛选，具体配置步骤需读者自行操作。子任务3利用高级ACL实现数据筛选：配置高级ACL步骤2配置ACL规则

高级ACL配置利用源IP、目的IP、协议、端口精确过滤数据，R2上设ACL，近源应用。

FTP访问控制允许PC1FTP(21,20端口)访问Server1，拒其他设备，允所有设备pingServer1。子任务3利用高级ACL实现数据筛选：测试

FTP服务器配置双击Server1图标，选“服务器信息”标签，“FtpServer”菜单，“配置”窗口指定“文件根目录”，创建主文件夹后点击“启动”按钮。子任务3利用高级ACL实现数据筛选：测试PC1的FTP访问测试PC1FTP测试成功连接至0，登录FTP服务器，执行dir命令展示WebServer.html文件详情，传输速率663.63bytes/sec。FTP服务验证PC1使用ftp命令登录Server1的FTP服务，验证高级ACL数据筛选功能正常，文件传输稳定。子任务3利用高级ACL实现数据筛选：测试PC2的FTP访问