由于暑假的工作一直是与网站相关，也没时间接触网络设备这方面的东西。所以，小五思科技术学习笔记这个系列的文章暂停了很长时间。现在一切都恢复正常了，继续和大家分享一些思科技术学习笔记。

　　今天和大家分享一下标准访问控制列表，这个实验也是比较简单的。当然，有标准就得有扩展，扩展访问列表我将在后面做到。

　　这个实验并非用的DynamipsGUI，而是用的思科官方出品的Packet Tracer 5.0正式版，这个软件比较不错，这里推荐一下，主要是它的很多人性化设计很有意思，比如，如需要给设备添加模块需要先关闭电源，和真实情况模拟的一样。当然，这款模拟器只适合初学者，可以完成CCNA所有实验，并不适合高级者，如NP的一些实验。相信在以后的版本中会改进，但是就目前来看，对于初学者已经足够了。

　　以下是我们的拓扑图，图画的有点复杂，仔细看也很清晰。这个实验配置思路很简单，首先要配置静态路由，让三台pc能相互ping通，因为，如果网络都不通就不用谈访问控制了，只有在互通的前提下才能涉及到访问控制。

　　下面我说一下IP规划

　　PC0192.168.1.1

　　PC1192.168.4.2

　　PC2192.168.5.2

　　Server-PT192.168.5.3

　　Router1-F0/0192.168.1.2

　　Router1-S0/0192.168.2.1

　　Router1-S0/1192.168.3.1

　　Router2-S0/0192.168.2.2

　　Router2-F0/0192.168.4.1

　　Router3-S0/0192.168.3.2

　　Router3-F0/0192.168.5.1

　　我们先来看一下Router1配置好的访问控制列表，在特权模式下使用show access-lists命令

　　Router#show access-lists

　　Standard IP access list 1

　　permit host 192.168.1.1 (49 match(es))

　　Standard IP access list 2

　　deny host 192.168.4.2 (2 match(es))

　　permit any (5 match(es))

　　Router#

　　这里面有两个关键词，permit和deny，permit就是允许的意思，deny就是反之禁止的意思。

　　Standard IP access list 1

　　permit host 192.168.1.1 (49 match(es))

　　list后面的1表示是1号规则，标准控制列表一共可以设置1-99条规则，permit host 192.168.1.1 这句话就是允许192.168.1.1通过，这里要注意，这个规则只有1条，就是允许192.168.1.1通过，那个，加入在1网段还有其他主机，比如1.2，那么它能通过么？答案是否定的，因为，一旦启用了访问控制列表，那么默认有一条规则就是禁止所有。

　　我们看2号规则，一共有两条

　　Standard IP access list 2

　　deny host 192.168.4.2 (2 match(es))

　　permit any (5 match(es))

　　最后一条，permit any，这个意思就是允许所有通过，有人觉得奇怪了，第一条是拒绝192.168.4.2通过，第二条又是允许所有通过，不矛盾吗？答案是不矛盾，因为访问控制列表执行的是从上到下规则，比如，192.168.4.2过来通信，那么，2号规则的第一条就判断出来是192.168.4.2，那么直接拒绝，这没有什么好怀疑的。但是，如果是192.168.4.3发过来的数据，访问控制列表会从第一条开始对比，发现，没有满足，也就是没有发现来自192.168.4.2的数据，那么会进行第二条规则匹配。第二条是允许所有通过，那么，192.168.4.3发过来的数据就可以通过了。这点大家要清楚。

　　这个实验非常简单，我只配置了router1的访问控制列表。

　　我想让192.168.1.1可以通过router1，拒绝192.168.4.2的通信。

　　具体操作如下

　　创建2个访问规则，一条是允许192.168.1.1

　　Router(config)#access-list 1 permit 192.168.1.1

　　一条是拒绝192.168.4.2

　　Router(config)#access-list 2 deny 192.168.4.2

　　Router(config)#access-list 2 permit any

　　然后，我们将规则应用到端口上，上面仅仅是创建规则，应用到端口上用到，要应用在哪个端口上就要进入到哪个端口的配置模式下

　　Router(config)#int f0/0

　　Router(config-if)#ip access-group 1 in

　　这句话的解释就是，把1号标准访问控制列表的规则应用在f0/0上，在数据进入的时候。大家注意后面的in，是表示数据从外进入，如果是out，则是，经过路由器要出去的数据。使用的时候可以灵活利用。

　　经过简单的配置，就实现了我们的要求，非常简单。

　　我已经把Packet Tracer所保存的文档放在附件中，大家可以直接用软件打开查看详细的配置。

　　本文出自 “小五的博客” 博客，请务必保留此出处http://xwnet.blog.51cto.com/233677/100665

　　本文示例源代码或素材下载