个人博客地址：https://travis1024.github.io/

深入理解用ACL实现访问控制的工作原理

计算机科学与技术学院实验中心，可接入Internet网台式机44台。

拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)

路由器R0只允许192.168.2.2 远程登录(telnet)。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0

禁止192.168.2.3 使用dns (53)端口访问192.168.1.0

首先允许192.18.16.2通过23端口(也就是telnet)访问路由器上的192.18.16.1，并且禁止其他主机通过23端口访问路由器上的192.18.16.1。最后将acl表绑定在fa 0/0上，这样就只允许192.18.16.2通过telnet访问路由器了，需要在路由器0中输入如下命令：

access-list 100 permit tcp host 192.18.16.2 host 192.18.16.1 eq 23 access-list 100 deny tcp any host 192.18.16.1 eq 23 access-list 100 permit icmp any any interface fa0/0 ip access-group 100 in

同样我们只需要通过acl表的命令，就可以不允许192.18.15.0/24通过icmp协议ping 192.168.14.0/24，我们需要在路由器1中进行如下配置：

access-list 101 deny icmp 192.18.15.0 0.0.0.255 192.18.14.0 0.0.0.255 access-list 101 permit icmp any any access-list 101 permit ip any any access-list 101 permit tcp any any interface se 0/0/0 ip access-group 101 out

禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 在上图的拓扑中就是 禁止192.18.16.2 使用www (80)端口访问192.18.14.0 禁止192.18.16.3 使用dns (53)端口访问192.18.14.0

我们可以通过host 192.168.2.2指定特定ip的主机，设置其是否允许通过某一个端口访问某一个网段，同样的对192.168.2.3也是相同的操作，最后我们只需要将acl表绑定在路由器2和192.18.14.0/24网段的端口之上即可实现题目要求的功能。我们需要在路由器2中进行如下配置：

access-list 100 deny tcp host 192.18.16.2 192.18.14.0 0.0.0.255 eq 80 access-list 100 deny tcp host 192.18.16.3 192.18.14.0 0.0.0.255 eq 53 access-list 100 permit ip any any access-list 100 permit tcp any any access-list 100 permit icmp any any interface fa0/0 ip access-group 100 out

禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 在上图的拓扑中就是 禁止192.18.16.2 使用www (80)端口访问192.18.14.0 禁止192.18.16.3 使用dns (53)端口访问192.18.14.0

路由器R0:

路由器R1:

路由器R2:

通过此次实验进一步加深了我对于ACL访问控制的了解，我们可以使用deny, permit对能够进行访问的ip进行限制，有利于网络的安全性，比如一个秘密的网络,可以通过ACL限制只有某些端口进来的访问才有效。通过本次的实验，我了解到如何在搭建网络的时候，限定某些ip用户才能够进行访问，受益匪浅。

实验报告及代码开源地址（Github）