实验十二 访问控制列表实验报告

实验十二访问控制列表

一、试验目的

1. 熟悉路由器的标准访问控制列表配置方法

2. 了解路由器的扩展访问控制列表配置方法

二、相关知识

访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一指令进行匹配，一旦获得匹配，则后续的指令将被忽略。

路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL，可以采用数字标识的方式。在使用ACL数字标识时，必须为每一协议的访问控制列表分配唯一的数字，并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围：1-99；扩展IP协议的ACL取值范围：100-199。

1标准ACL的相关知识

标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。

（1）标准ACL列表的定义

Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log]

Access-list-num:ACL号（1-99）

Deny:若测试条件成立，则拒绝相应的数据包

Permit:若测试条件成立，则接受相应的数据包

Source:源IP地址（网络或主机均可）

Source-wildcard:与源IP地址配合使用的通配掩码

Log:是否就ACL事件生成日志

（2）标准ACL列表的接口配置

Router(config-if)#ip access-group access-list-number {in | out}

此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。

in:指定相应的ACL被用于对从该接口进入的数据包进行处理。

out:指定相应的ACL被用于对从该接口流出的数据包进行处理。

注：在路由器的每一个端口，对每个协议、在每个方向上只能指定一个ACL列表

2扩展ACL的相关知识

扩展ACL是对标准ACL功能上的扩展，其不仅可以基于源和目标IP地址数据包的测试，还可基于协议类型和TCP端口号进行数据包的测试，从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性

扩展ACL通常用于下列情况

指定源和目标地址的包过滤

指定协议类型的包过滤

指定传输层端口号的包过滤

（1）扩展ACL列表的定义

Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service]

参数含义：

access-list-number：ACL表号（100-199）

protocol：指定协议，如IP、TCP、UDP等

source /destination：源/目的IP地址（网络或主机也可以）

source /destination-mask:与上述IP地址配合使用的通配掩码

operator：表示关系如lt小于、gt大于、eq相等、neq不相等

operand：端口号，如80、21等

established：若数据包使用一个已建立连接，则允许TCP通信通过

Priority：设置数据包的优先级0-7

type of service：设定服务类型0-15

（2）扩展ACL列表的接口配置

Router(config-if)#ip access-group access-list-number {in | out}

参数含义同标准ACL定义

三、实验内容

1、实验拓扑

2、地址规划如下：

◆Router_A: f0/0为10.1.1.1/24 f0/1为20.1.1.1/24

◆Router_B: f0/0为10.1.1.2/24 f0/1为30.1.1.1/24

3、

4、RouteB的配置：

5、在路由器A上配置标准ACL：拒绝PC3来的数据包到达左边的网络，验证：

6、在路由器A上配置标准ACL：拒绝PC1与外网的通信，而PC2可以验证如：

四、实验中遇到的问题及方案：

在这个试验中，一开始的时候并不理解访问控制列表的具体实现过程，而在做这个实验的时候，通过阅读实验的相关原理，并按照指导书一步步的推进，进行试验并进行验证，最终完成了实验的要求，通过这个实验更深入地了解了1标准ACL、扩展ACL。

网络安全实验报告[整理版]

一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer； 2. 熟练掌握Sniffer的使用； 3. 要求能够熟练运用sniffer捕获报文，结合以太网的相关知识，分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机，能互相访问，组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂，按照提示操作即可。 2、使用sniffer查询流量信息： 第一步：默认情况下sniffer pro会自动选择网卡进行监听，手动方法是通过软件的file 菜单下的select settings来完成。 第二步：在settings窗口中我们选择准备监听的那块网卡，把右下角的“LOG ON”勾上，“确定”按钮即可。 第四步：在三个仪表盘下面是对网络流量，数据错误以及数据包大小情况的绘制图。 第五步：通过FTP来下载大量数据，通过sniffer pro来查看本地网络流量情况，FTP 下载速度接近4Mb/s。 第六步：网络传输速度提高后在sniffer pro中的显示也有了很大变化，utiliazation使用百分率一下到达了30%左右，由于我们100M网卡的理论最大传输速度为12.5Mb/s，所以4Mb/s刚好接近这个值的30%，实际结果和理论符合。 第七步：仪表上面的“set thresholds”按钮了，可以对所有参数的名称和最大显示上限进行设置。 第八步：仪表下的“Detail”按钮来查看具体详细信息。 第九步：在host table界面，我们可以看到本机和网络中其他地址的数据交换情况。

计算机网络ACL配置实验报告

计算机网络ACL配置实验报告 件）学院《计算机网络》综合性、设计性实验成绩单开设时间：xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验，模拟实现了对ACL的配置。在实验中，理解ACL对某些数据流进行过滤，达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解，如何控制非法地址访问自己的网络，以及为什么要进行数据过滤，对数据进行有效的过滤，可以使不良数据进入青少年中的视野，危害青少年的身心健康发展。该实验加深了我对网络的理解，同时加强了自身的动手能力，并将理论知识应用到实践当中。教师评语评价指标：l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R

1、R 2、R37（1）配置路由器R17（2）配置路由器R27（3）配置路由器R3 83、配置主机PC0、PC18（1）配置PC0的信息8（2）配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验，可以掌握如下技能： （1） ACL的概念（2） ACL的作用（3）根据网络的开放性，限制某些ip的访问（4）如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2，而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准，扩展以及命名ACL

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台；Router-PT 3 台；交叉线；DCE 串口线；Server-PT 1 台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）路由器之间通过V.35 电缆通过串口连接，DCE 端连接在R1 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP 地址。 （3）在路由器上配置静态路由协议，让三台PC 能够相互Ping 通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1 上编号的IP 标准访问控制。 （5）将标准IP 访问控制应用到接口上。 （6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）分公司出口路由器与外路由器之间通过V.35 电缆串口连接，DCE 端连接在R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC 机、服务器及路由器接口IP 地址。 （3）在各路由器上配置静态路由协议，让PC 间能相互ping 通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2 上配置编号的IP 扩展访问控制列表。 （5）将扩展IP 访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1：

PC2：

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置：PC0： Server0：

ACL配置实验报告

南京信息工程大学实验（实习）报告 实验（实习）名称ACL的配置实验（实习）日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 （1）了解路由器的ACL配置与使用过程，会运用标准、扩展ACL建立基于路由器的防火墙，保护网络边界。 （2）了解路由器的NA T配置与使用过程，会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 （1）实验资源、工具和准备工作。Catalyst2620路由器2台，Windows 2000客户机2台，Windows 2000 Server IIS服务器2台，集线器或交换机2台。制作好的UTP网络连接（双端均有RJ-45头）平行线若干条、交叉线（一端568A，另一端568B）1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 （2）实验内容。设置图8.39中各台路由器名称、IP地址、路由协议（可自选），保存配置文件；设置WWW服务器的IP地址；设置客户机的IP地址；分别对两台路由器设置扩展访问控制列表，调试网络，使子网1的客户机只能访问子网2的Web服务80端口，使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制，进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议（可自选），保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表，调试网络。使子网1的客户机只能访问子网2的Web服务80端口， 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制，进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。

访问控制列表ACL配置-实验报告

课设5：访问控制列表ACL的配置 【实验目的】： 1．熟悉掌握网络的基本配置连接 2．对网络的访问性进行配置 【实验说明】： 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】： 【实验过程记录】：

步骤1：搭建拓扑结构，进行配置 （1）搭建网络拓扑图： （2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。 （3）设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置 代码如下： Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2：检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。 检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表（ACL ）实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立FTP 、WEB ，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图， 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为WWW Server 和FTP Server ）。 【实验原理】 基于时间的ACL 是在各种ACL 规则（标准ACL 、扩展ACL 等）后面应用时间段选项（time-range ）以实现基于时间段的访问控制。当ACL 规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效，一般需要下面的配置步骤。

（1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。 （2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装FTP Server和WWW Server和配置路由器。 （3）在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U，下载安装后见如下界面。

(1405021 21 余铅波)实验5、访问控制列表实验报告.doc

成都工业学院计算机工程系 《路由与交换技术》实验报告 实验名称实验5、访问控制列表实验实验时间2016.05.09 21 学生姓名余铅波班级1405021 学号 指导教师张敏批阅教师成绩 一、实验目的： 在本练习中，您需要完成编址方案、配置路由并实施命名访问控制列表。 二、实验设备： 联网的PC机一台，安装有Windows操作系统，Packet Tracer。 三、实验拓扑图 四、实验内容（实验要求） a.将172.16.128.0/19 划分为两个相等的子网以用于Branch 。 1)将第二个子网的最后一个可用地址分配给Gigabit Ethernet 0/0 接口。 2)将第一个子网的最后一个可用地址分配给Gigabit Ethernet 0/1 接口。 3)将编址记录在地址分配表中。 4)使用适当的编址配置Branch 。 b.使用与B1 连接的网络的第一个可用地址，为B1 配置适当编址。将编址记录在地址分配表 中。 c.根据以下条件，使用增强型内部网关路由协议(EIGRP) 路由配置Branch 。 ?通告所有三个连接网络 ?分配AS 编号1 ?禁用自动总结。 ?将相应接口配置为被动接口 ?使用管理距离5 在序列0/0/0 接口上总结172.16.128.0/19。 d.在 HQ 上设置默认路由，将流量发送到S0/0/1 接口。将路由重新分配给Branch 。 e.使用管理距离5，总结Serial 0/0/0 接口上的 HQ LAN 子网。

f.设计命名访问列表HQServer 以防止任何连接Branch 路由器Gigabit Ethernet 0/0 接口的 计算机访问HQServer.pka 。允许所有其他流量。在相应的路由器上配置访问列表，将其 应用于相应的接口且保证方向正确。 g.设计命名访问列表 BranchServer 以防止任何连接HQ 路由器Gigabit Ethernet 0/0 接口 的计算机访问Branch 服务器的HTTP 和HTTPS 服务。允许所有其他流量。在相应的路由器上配置访问列表，将其应用于相应的接口且保证方向正确。 地址分配表 设备接口IP 地址子网掩码默认网关 HQ G0/0 172.16.127.254 255.255.192.0 未提供 G0/1 172.16.63.254 255.255.192.0 未提供 S0/0/0 192.168.0.1 255.255.255.252 未提供 S0/0/1 64.104.34.2 255.255.255.252 64.104.34.1 分支机构G0/0 未提供G0/1 未提供S0/0/0 192.168.0.2 255.255.255.252 未提供 HQ1 网卡172.16.64.1 255.255.192.0 172.16.127.254 HQ2 网卡172.16.0.2 255.255.192.0 172.16.63.254 HQServer.pka 网卡172.16.0.1 255.255.192.0 172.16.63.254 B1 网卡 B2 网卡172.16.128.2 255.255.240.0 172.16.143.254 BranchServer.pka 网卡172.16.128.1 255.255.240.0 172.16.143.254 五、实验步骤 步骤一：先对分配子网对分支机构的接口做配置 interface GigabitEthernet0/0 ip address 172.16.159.254 255.255.240.0 ip access-group HQServer in duplex auto speed auto interface GigabitEthernet0/1 ip address 172.16.143.254 255.255.240.0 duplex auto speed auto interface Serial0/0/0 ip address 192.168.0.2 255.255.255.252 ip summary-address eigrp 1 172.16.128.0 255.255.224.0 5 步骤二：配置ERGIP协议完成相关配置 router eigrp 1 passive-interface GigabitEthernet0/0

实验报告hcna综合实验

HCNA实验手册 组名：一班一组 班级：网络安全一班

目录 实验一：HCNA 综合实验 (2) 实验目的： (2) 技术原理： (3) 实验拓扑： (3) 操作步骤： (4) 要求一: 内部客户端A属于VLAN 10，内部客户端B属于VLAN 20； (4) 要求二：内部三台交换机之间的双链路使用以太通道将链路聚合； (6) 要求三：内部三台交换机使用GVRP协议同步VLAN数据，内部三层交换机为SERVER角色； (9) 要求五: 边界两台路由器实现网关冗余，要求默认流量从边界路由器A向外传输；10要求六：内部路由使用OSPF协 (10) 要求七：分别映射两台WEB服务器的TCP 80端口至两台边界路由器的外部端口； (11) 要求八：不允许内部客户端A访问WEB服务器A；不允许内部客户端B访问WEB服务器的TCP 80端口。 (12) 基本配置九：ip地址的配置和一些vlan (13) 步骤七：测试 (15) 注意事项 (16) 实验：HCNA 综合实验 实验目的： 1 掌握hcna所学的所有技术的原理 2 掌握HCNA所学的所有技术的命令配置 1所使用的技术: vlan acl 三层技术 nat gvrp vrrp stp ip

技术原理： 1 vlan :虚拟局域网 2 acl：访问控制列表 3 三层技术：实验vlan间互通 4 nat :网络地址转换 5 gvrp：vlan 注册技术 6 vrrp : 虚拟路由冗余协议 7 stp :生成树 8 ip : 网际协议: 实验拓扑：

操作步骤： 要求一: 内部客户端A属于VLAN 10，内部客户端B属于VLAN 20； 1.内部客户端A属于VLAN 10 二层交换机 Sys SYSname 2SWA 1.2SWA 创建vlan vlan batch 10 interface Ethernet0/0/5 port link-type access port default vlan 10 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 #

访问控制列表实验.详解

实验报告如有雷同，雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表（ACL）实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图，注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为和）。 【实验原理】 基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选 项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在 此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生 效，其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效，一般需要下面的配置步骤。 （1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装和和配置路由器。 （3）在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U，下载安装后见如下界面。 先新建域：

实验十二 访问控制列表实验报告

实验十二访问控制列表 一、试验目的 1. 熟悉路由器的标准访问控制列表配置方法 2. 了解路由器的扩展访问控制列表配置方法 二、相关知识 访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一指令进行匹配，一旦获得匹配，则后续的指令将被忽略。 路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL，可以采用数字标识的方式。在使用ACL数字标识时，必须为每一协议的访问控制列表分配唯一的数字，并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围：1-99；扩展IP协议的ACL取值范围：100-199。 1标准ACL的相关知识 标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。 （1）标准ACL列表的定义 Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log] Access-list-num:ACL号（1-99） Deny:若测试条件成立，则拒绝相应的数据包 Permit:若测试条件成立，则接受相应的数据包 Source:源IP地址（网络或主机均可） Source-wildcard:与源IP地址配合使用的通配掩码 Log:是否就ACL事件生成日志 （2）标准ACL列表的接口配置 Router(config-if)#ip access-group access-list-number {in | out} 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。 in:指定相应的ACL被用于对从该接口进入的数据包进行处理。 out:指定相应的ACL被用于对从该接口流出的数据包进行处理。 注：在路由器的每一个端口，对每个协议、在每个方向上只能指定一个ACL列表 2扩展ACL的相关知识 扩展ACL是对标准ACL功能上的扩展，其不仅可以基于源和目标IP地址数据包的测试，还可基于协议类型和TCP端口号进行数据包的测试，从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况

访问控制列表实验报告

实训报告 实验名称访问控制列表 课程名称计算机网络 1.实验目的 掌握访问控制列表的概念。 能对路由器进行访问控制列表的设置。 2.实验环境 （1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。 （2）在计算机上安装有windows xp 的操作系统，并且安装有Cisco Packet Tracer 软件。 3.实训规划和拓扑图规划：

4、实验要求： 要求：a、Lan 1 不能访问lan 2 . b、Lan 1 能访问lan 3 不能访问lan 4. c、Lan 2能访问lan 4 不能访问lan 3. 5、实验步骤： （1）按照规划，构建拓扑图。（标注好各个接口，和ip地址）（2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip 2.通过show ip route是否学到全网的路由。R1结果如下： R2结果如下： （3）配置访问控制列表： 针对要求：Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)

在R1：access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R1的接口f0/1: ip access-group 1 out 针对要求：Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照) 在R2 :access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R2.f0/1 ip access-group out 针对要求：Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照) 在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255 aceess-list 2 permit any R2.f0/0:ip access-group 2 out 6、实验结果： （1）针对要求：Lan 1 不能访问lan 2. 测试有以下结果： pc1 ping pc2不通，符合要求1，如下图所示。 Pc2 ping pc1如下图： Pc1上路由跟踪pc2: （2）针对要求：Lan 1 能访问lan 3 不能访问lan 4 Pc1 ping pc3:结果如下

访问控制列表实验

访问控制列表 一、实训目的 了解网络防线-----访问控制列表的作用和配置方法，了解基本访问控制列表和扩展访问控制列表的含义 二、实训内容 1.环境：3台路由器、1台交换机、7台计算机 2.内容：掌握基本访问控制列表的作用和配置方法。 三、实训步骤 按下图搭建网络，并根据下述任务配置好各IP地址和RIP动态路由。 1.配置路由器到网络各点可通 设置为RIP动态路由，IP地址分配如下： PCA ip:10.65.1.1gateway:10.65.1.2 PCB ip:10.66.1.1gateway:10.66.1.2 PCC ip:10.69.1.1gateway:10.69.1.2 PCD ip:10.70.1.1gateway:10.70.1.2 PCE ip:10.65.1.3gateway:10.65.1.2

PCF ip:10.65.2.1gateway:10.65.1.2 PCG ip:12.1.1.1gateway:12.1.1.2 SWA ip:10.65.1.8gateway:10.65.1.2 RouterA f0/0: 10.65.1.2实际还应该设置另一个IP：12.1.1.2 RouterA f0/1: 10.66.1.2 RouterA s0/1: 10.68.1.2 RouterC s0/0: 10.68.1.1 RouterC s0/1: 10.78.1.2 RouterB s0/0: 10.78.1.1 RouterB f0/0: 10.69.1.2 RouterB f0/1: 10.70.1.2 2.基本的访问控制列表： 先从PCA ping PCD: [root@PCA @root]#ping 10.70.1.1 (通) 在ROC的s0/0写一个输入的访问控制列表： RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0 RouterC(config)#access-list 1 deny any RouterC(config)#int s0/0 RouterC(config-if)#ip access-group 1 in

实验报告：ACL实验

实验七：ACL实验 ?实验目的 1、掌握ACL的设计原则和工作过程 2、掌握标准ACL的配置方法； 3、掌握扩展ACL的配置方法； 4、掌握两种ACL的放置规则 5、掌握两种ACL调试和故障排除 ?实验要求 1、允许pc0特定主机访问网络 2、.允许pc1所在网络访问网络； 3、允许pc1所在网络访问www服务； 4、给出具体的实验步骤和调试结果 5、给出每台路由器上面的关于ACL配置清单。 ?实验拓扑（可选） 给出本次实验的网络拓扑图，即实际物理设备的连接图。

?实验设备（环境、软件） 4台路由器，2台PC机，一台www服务器 ?实验设计到的基本概念和理论 访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

实验过程和主要步骤 1．分别配置路由器0、1、2、3和PC机0、1和www服务器的ip地址Router0 Router1 Router2 Router3 PC0 PC1

访问控制列表(ACL)配置实验报告

实验四访问控制列表（ACL）配置 1、实验目的： （1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。 （2）思科交换机的基本ACL配置 2、实验环境： 利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。 3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。 （2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交 换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口 令、各端口的参数）。 （3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。将该列表应用于路由器的相应端口。然后， 进行相应的Ping测试。 （4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。将该列表 应用于路由器的相应端口，最后进行相应的Ping测试。 2.3 实验步骤 （1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。 （2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为： 255.255.255.0，网关为：192.168.1.1，如下图2-2所示：

实验11 (ACL)访问控制列表及配置

实验报告 实验名称实验11访问控制列表及配置 实验拓扑图如下所示： PC1PC2 F0/0F0/0 10.1.1.2172.16.1.22960 192.168.100.2192.168.100.1 一、对设备连线并进行子网规划和基本配置 （1）R2: R2(config)#no ip domain lookup R2(config)#line console 0 R2(config-line)#logging synchronous R2(config-line)#exec-timeout 0 0 R2(config)#int s0/0/1 R2(config-if)#ip add 192.168.100.1 255.255.255.0 R2(config-if)#no shut R2(config-if)#int f0/0 R2(config-if)#ip add 10.1.1.1 255.0.0.0 R2(config-if)#no shut 配置RIP 协议 R2(config)#router rip R2(config-router)#network 192.168.100.0 R2(config-router)#network 10.0.0.0

（2）R3： R3(config)#int s0/2/1 R3(config-if)#ip add 192.168.100.2 255.255.255.0 R3(config-if)#no shut R3(config-if)#exit R3(config)#int f0/0 R3(config-if)#ip add 172.16.1.1 255.255.0.0 R3(config-if)#no shut 配置RIP协议 R2(config)#router rip R2(config-router)#network 192.168.100.0 R2(config-router)#network 10.0.0.0 PC1 ping PC2 R2#ping 172.16.1.2 Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 PC2 ping PC1 R3#ping 10.1.1.2 Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 ms 二、根据拓扑图，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。 （1）在R3 上配置标准ACL R3(config)#access-list 2 deny 10.0.0.0 0.255.255.255 R3(config)#access-list 2 permit any R3(config)#int f0/0 R3(config-if)#ip access-group 2 out PC1所在网络不能访问PC2所在网络（不可达） C:\Documents and Settings\Administrator>ping 172.16.1.2 Pinging 172.16.1.2 with 32 bytes of data: Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Ping statistics for 172.16.1.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms PC2 所在网络不能访问PC1 所在网络（超时）

防火墙实验报告

信息安全实验报告 实验名称：防火墙实验 教师：周亚建 班级： 08211319 学号： 08211718 班内序号: 28 姓名：龙宝莲 2011年 3 月 23 日一、实验目的 通过实验深入理解防火墙的功能和工作原理，学会使用boson netsim模 拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。 二、实验原理 1、防火墙的实现技术 ●包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由 此 决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。 ●应用级网关技术。应用级网关即代理服务器，代理服务器通常运行在两个网络之间，它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器，而对于外界的服务器来说，他又相当于此Internet服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果规则允许，代理服务器会将此请求发送给Internet站点，从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离，从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。 ●状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内外网间传输的数据包以会话角度进行监测，利用状态跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。 2、防火墙的体系结构 ●双重宿主主机体系结构，双重宿主主机体系结构是围绕具有双重宿主主

计算机网络实验报告访问控制列表ACL配置实验

计算机网络实验报告访问控制列表A C L配置 实验 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL进行配置。 三、实验设备 PC 3台；Router-PT 3台；交叉线；DCE串口线；Server-PT 1台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer拓扑图 （1）路由器之间通过电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP地址。 （3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1上编号的IP标准访问控制。 （5）将标准IP访问控制应用到接口上。

（6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer拓扑图 （1）分公司出口路由器与外路由器之间通过电缆串口连接，DCE端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC机、服务器及路由器接口IP地址。 （3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2上配置编号的IP扩展访问控制列表。 （5）将扩展IP访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1： PC2：

锐捷实训12-1-标准IP访问控制列表的配置

实训11-1 标准IP访问控制列表的配置 【实训目的】 （1）理解IP访问控制列表的原理及功能； （2）掌握编号的标准IP访问控制列表的配置方法； 【实训技术原理】 IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性； IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1～99、1300～1999，100～199、2000～2699； 标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤； 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤； IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用； ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 1．什么是访问控制列表 ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。按照其使用的范围，可以分为安全ACLs 和QoS ACLs。 对数据流进行过滤可以限制网络中的通讯数据的类型，限制网络的使用者或使用的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行检查，根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。 总的来说，安全ACLs 用于控制哪些数据流允许从网络设备通过，Qos 策略对这些数据流进行优先级分类和处理。 ACLs 由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。 访问列表规则可以针对数据流的源地址、目标地址、上层协议，时间区域等信息。 访问控制列表语句的执行必须严格按照表中语句的顺序，从第一条语句开始比较，一旦一个数据包的报头跟表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

访问控制列表ACL配置-实验报告

【实验目的】： 1．熟悉掌握网络的基本配置连接 2．对网络的访问性进行配置 【实验说明】： 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】： 【实验过程记录】： 步骤1：搭建拓扑结构，进行配置

（1）搭建网络拓扑图： （2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。 （3）设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置 代码如下： Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2：检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。 检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

防火墙实验报告

信息安全实验报告实验名称：防火墙实验 教师：周亚建 班级： 08211319 学号： 08211718 班内序号: 28 姓名：龙宝莲 2011年 3 月 23 日 一、实验目的 通过实验深入理解防火墙的功能和工作原理，学会使用boson netsim模 拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。 二、实验原理 1、防火墙的实现技术 包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此 决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。 应用级网关技术。应用级网关即代理服务器，代理服务器通常运行在两个网 络之间，它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器，而对于外界的服务器来说，他又相当于此Internet 服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果规则允许，代理服务器会将此请求发送给Internet站点，从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离，从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。 状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP 地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内外网间传输的数据包以会话角度进行监测，