实验十二 访问控制列表实验报告

实验十二访问控制列表

一、试验目的

1. 熟悉路由器的标准访问控制列表配置方法

2. 了解路由器的扩展访问控制列表配置方法

二、相关知识

访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一指令进行匹配，一旦获得匹配，则后续的指令将被忽略。

路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL，可以采用数字标识的方式。在使用ACL数字标识时，必须为每一协议的访问控制列表分配唯一的数字，并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围：1-99；扩展IP协议的ACL取值范围：100-199。

1标准ACL的相关知识

标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。

（1）标准ACL列表的定义

Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log]

Access-list-num:ACL号（1-99）

Deny:若测试条件成立，则拒绝相应的数据包

Permit:若测试条件成立，则接受相应的数据包

Source:源IP地址（网络或主机均可）

Source-wildcard:与源IP地址配合使用的通配掩码

Log:是否就ACL事件生成日志

（2）标准ACL列表的接口配置

Router(config-if)#ip access-group access-list-number {in | out}

此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。

in:指定相应的ACL被用于对从该接口进入的数据包进行处理。

out:指定相应的ACL被用于对从该接口流出的数据包进行处理。

注：在路由器的每一个端口，对每个协议、在每个方向上只能指定一个ACL列表

2扩展ACL的相关知识

扩展ACL是对标准ACL功能上的扩展，其不仅可以基于源和目标IP地址数据包的测试，还可基于协议类型和TCP端口号进行数据包的测试，从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性

扩展ACL通常用于下列情况

指定源和目标地址的包过滤

指定协议类型的包过滤

指定传输层端口号的包过滤

（1）扩展ACL列表的定义

Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service]

参数含义：

access-list-number：ACL表号（100-199）

protocol：指定协议，如IP、TCP、UDP等

source /destination：源/目的IP地址（网络或主机也可以）

source /destination-mask:与上述IP地址配合使用的通配掩码

operator：表示关系如lt小于、gt大于、eq相等、neq不相等

operand：端口号，如80、21等

established：若数据包使用一个已建立连接，则允许TCP通信通过

Priority：设置数据包的优先级0-7

type of service：设定服务类型0-15

（2）扩展ACL列表的接口配置

Router(config-if)#ip access-group access-list-number {in | out}

参数含义同标准ACL定义

三、实验内容

1、实验拓扑

2、地址规划如下：

◆Router_A: f0/0为10.1.1.1/24 f0/1为20.1.1.1/24

◆Router_B: f0/0为10.1.1.2/24 f0/1为30.1.1.1/24

3、

4、RouteB的配置：

5、在路由器A上配置标准ACL：拒绝PC3来的数据包到达左边的网络，验证：

6、在路由器A上配置标准ACL：拒绝PC1与外网的通信，而PC2可以验证如：

四、实验中遇到的问题及方案：

在这个试验中，一开始的时候并不理解访问控制列表的具体实现过程，而在做这个实验的时候，通过阅读实验的相关原理，并按照指导书一步步的推进，进行试验并进行验证，最终完成了实验的要求，通过这个实验更深入地了解了1标准ACL、扩展ACL。

网络安全实验报告[整理版]

一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer； 2. 熟练掌握Sniffer的使用； 3. 要求能够熟练运用sniffer捕获报文，结合以太网的相关知识，分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机，能互相访问，组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂，按照提示操作即可。 2、使用sniffer查询流量信息： 第一步：默认情况下sniffer pro会自动选择网卡进行监听，手动方法是通过软件的file 菜单下的select settings来完成。 第二步：在settings窗口中我们选择准备监听的那块网卡，把右下角的“LOG ON”勾上，“确定”按钮即可。 第四步：在三个仪表盘下面是对网络流量，数据错误以及数据包大小情况的绘制图。 第五步：通过FTP来下载大量数据，通过sniffer pro来查看本地网络流量情况，FTP 下载速度接近4Mb/s。 第六步：网络传输速度提高后在sniffer pro中的显示也有了很大变化，utiliazation使用百分率一下到达了30%左右，由于我们100M网卡的理论最大传输速度为12.5Mb/s，所以4Mb/s刚好接近这个值的30%，实际结果和理论符合。 第七步：仪表上面的“set thresholds”按钮了，可以对所有参数的名称和最大显示上限进行设置。 第八步：仪表下的“Detail”按钮来查看具体详细信息。 第九步：在host table界面，我们可以看到本机和网络中其他地址的数据交换情况。

实验十一：标准访问控制列表配置

《网络互联技术》课程实验指导书 实验十一：标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时，或者允许来自某一特定网络的所有通信流量时，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是：（对于TCP数据包来说，访问是双向的，只要A不能访问B，则B也将不能访问A） ●HostA和HostB之间可以通信，但无法访问HostC、HostD。 ●HostC和HostD之间可以通信，但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出（从路由器端口出来转向

交换机或主机）的数据包进行过滤，实现功能：禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量，因此，应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科（Cisco）3620路由器 2、两台思科（Cisco）2950二层交换机 3、思科（Cisco）专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程（需要将相关命令写入实验报告） 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any

计算机网络ACL配置实验报告

计算机网络ACL配置实验报告 件）学院《计算机网络》综合性、设计性实验成绩单开设时间：xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验，模拟实现了对ACL的配置。在实验中，理解ACL对某些数据流进行过滤，达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解，如何控制非法地址访问自己的网络，以及为什么要进行数据过滤，对数据进行有效的过滤，可以使不良数据进入青少年中的视野，危害青少年的身心健康发展。该实验加深了我对网络的理解，同时加强了自身的动手能力，并将理论知识应用到实践当中。教师评语评价指标：l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R

1、R 2、R37（1）配置路由器R17（2）配置路由器R27（3）配置路由器R3 83、配置主机PC0、PC18（1）配置PC0的信息8（2）配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验，可以掌握如下技能： （1） ACL的概念（2） ACL的作用（3）根据网络的开放性，限制某些ip的访问（4）如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2，而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准，扩展以及命名ACL

标准ACL配置与调试

实验5 标准ACL配置与调试 1．实验目标 在这个实验中，我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。 2．实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3．实验要求 根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下： ⑴路由器R1： s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1： IP：10.1.1.2/8 网关：10.1.1.1 ⑶路由器R2： s0/0:192.168.100.2/24

fa0/0:172.16.1.1/16 ⑷计算机PC2： IP：172.16.1.2/16 网关：172.16.1.１ 4．实验步骤 在开始本实验之前，建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。 ⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。 ⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下： ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问：

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台；Router-PT 3 台；交叉线；DCE 串口线；Server-PT 1 台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）路由器之间通过V.35 电缆通过串口连接，DCE 端连接在R1 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP 地址。 （3）在路由器上配置静态路由协议，让三台PC 能够相互Ping 通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1 上编号的IP 标准访问控制。 （5）将标准IP 访问控制应用到接口上。 （6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）分公司出口路由器与外路由器之间通过V.35 电缆串口连接，DCE 端连接在R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC 机、服务器及路由器接口IP 地址。 （3）在各路由器上配置静态路由协议，让PC 间能相互ping 通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2 上配置编号的IP 扩展访问控制列表。 （5）将扩展IP 访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1：

PC2：

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置：PC0： Server0：

ACL配置实验报告

南京信息工程大学实验（实习）报告 实验（实习）名称ACL的配置实验（实习）日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 （1）了解路由器的ACL配置与使用过程，会运用标准、扩展ACL建立基于路由器的防火墙，保护网络边界。 （2）了解路由器的NA T配置与使用过程，会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 （1）实验资源、工具和准备工作。Catalyst2620路由器2台，Windows 2000客户机2台，Windows 2000 Server IIS服务器2台，集线器或交换机2台。制作好的UTP网络连接（双端均有RJ-45头）平行线若干条、交叉线（一端568A，另一端568B）1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 （2）实验内容。设置图8.39中各台路由器名称、IP地址、路由协议（可自选），保存配置文件；设置WWW服务器的IP地址；设置客户机的IP地址；分别对两台路由器设置扩展访问控制列表，调试网络，使子网1的客户机只能访问子网2的Web服务80端口，使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制，进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议（可自选），保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表，调试网络。使子网1的客户机只能访问子网2的Web服务80端口， 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制，进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。

访问控制列表ACL配置-实验报告

课设5：访问控制列表ACL的配置 【实验目的】： 1．熟悉掌握网络的基本配置连接 2．对网络的访问性进行配置 【实验说明】： 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】： 【实验过程记录】：

步骤1：搭建拓扑结构，进行配置 （1）搭建网络拓扑图： （2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。 （3）设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置 代码如下： Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2：检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。 检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

ACL IP访问控制列表配置实验

IP访问控制列表配置 目录： 第一个任务的：验证测试 (3) 第二个任务的：交换机的验证测试 (6) 第三个任务的：扩展访问验证测试 (10) 最后---总结： (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa

0端口，如图所示。 第1步：基本配置 路由器RouterA： R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB： R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表（ACL ）实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立FTP 、WEB ，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图， 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为WWW Server 和FTP Server ）。 【实验原理】 基于时间的ACL 是在各种ACL 规则（标准ACL 、扩展ACL 等）后面应用时间段选项（time-range ）以实现基于时间段的访问控制。当ACL 规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效，一般需要下面的配置步骤。

（1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。 （2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装FTP Server和WWW Server和配置路由器。 （3）在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U，下载安装后见如下界面。

(1405021 21 余铅波)实验5、访问控制列表实验报告.doc

成都工业学院计算机工程系 《路由与交换技术》实验报告 实验名称实验5、访问控制列表实验实验时间2016.05.09 21 学生姓名余铅波班级1405021 学号 指导教师张敏批阅教师成绩 一、实验目的： 在本练习中，您需要完成编址方案、配置路由并实施命名访问控制列表。 二、实验设备： 联网的PC机一台，安装有Windows操作系统，Packet Tracer。 三、实验拓扑图 四、实验内容（实验要求） a.将172.16.128.0/19 划分为两个相等的子网以用于Branch 。 1)将第二个子网的最后一个可用地址分配给Gigabit Ethernet 0/0 接口。 2)将第一个子网的最后一个可用地址分配给Gigabit Ethernet 0/1 接口。 3)将编址记录在地址分配表中。 4)使用适当的编址配置Branch 。 b.使用与B1 连接的网络的第一个可用地址，为B1 配置适当编址。将编址记录在地址分配表 中。 c.根据以下条件，使用增强型内部网关路由协议(EIGRP) 路由配置Branch 。 ?通告所有三个连接网络 ?分配AS 编号1 ?禁用自动总结。 ?将相应接口配置为被动接口 ?使用管理距离5 在序列0/0/0 接口上总结172.16.128.0/19。 d.在 HQ 上设置默认路由，将流量发送到S0/0/1 接口。将路由重新分配给Branch 。 e.使用管理距离5，总结Serial 0/0/0 接口上的 HQ LAN 子网。

f.设计命名访问列表HQServer 以防止任何连接Branch 路由器Gigabit Ethernet 0/0 接口的 计算机访问HQServer.pka 。允许所有其他流量。在相应的路由器上配置访问列表，将其 应用于相应的接口且保证方向正确。 g.设计命名访问列表 BranchServer 以防止任何连接HQ 路由器Gigabit Ethernet 0/0 接口 的计算机访问Branch 服务器的HTTP 和HTTPS 服务。允许所有其他流量。在相应的路由器上配置访问列表，将其应用于相应的接口且保证方向正确。 地址分配表 设备接口IP 地址子网掩码默认网关 HQ G0/0 172.16.127.254 255.255.192.0 未提供 G0/1 172.16.63.254 255.255.192.0 未提供 S0/0/0 192.168.0.1 255.255.255.252 未提供 S0/0/1 64.104.34.2 255.255.255.252 64.104.34.1 分支机构G0/0 未提供G0/1 未提供S0/0/0 192.168.0.2 255.255.255.252 未提供 HQ1 网卡172.16.64.1 255.255.192.0 172.16.127.254 HQ2 网卡172.16.0.2 255.255.192.0 172.16.63.254 HQServer.pka 网卡172.16.0.1 255.255.192.0 172.16.63.254 B1 网卡 B2 网卡172.16.128.2 255.255.240.0 172.16.143.254 BranchServer.pka 网卡172.16.128.1 255.255.240.0 172.16.143.254 五、实验步骤 步骤一：先对分配子网对分支机构的接口做配置 interface GigabitEthernet0/0 ip address 172.16.159.254 255.255.240.0 ip access-group HQServer in duplex auto speed auto interface GigabitEthernet0/1 ip address 172.16.143.254 255.255.240.0 duplex auto speed auto interface Serial0/0/0 ip address 192.168.0.2 255.255.255.252 ip summary-address eigrp 1 172.16.128.0 255.255.224.0 5 步骤二：配置ERGIP协议完成相关配置 router eigrp 1 passive-interface GigabitEthernet0/0

实验七 标准IP访问控制列表配置

实验七标准IP访问控制列表配置 一、实验目的 1．理解标准IP访问控制列表的原理及功能。 2．掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600（2台）、主机（3台）、交叉线（3条）、DCE线（1条）。 三、实验背景 你是公司的网络管理员，公司的经理部、财务部和销售部分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部不能对财务部进行访问，但经理部可以对财务部进行访问 PC1代表经理部的主机，PC2代表销售部的主机，PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表；也称为访问列表，俗称为防火墙，在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃，从而提高网络可管理性和安全性。 IP ACLs分为两种：标准IP访问列表和扩展IP访问列表，标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。 IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接，DCE端连接在R1上，

配置其时钟频率64000；主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议，让三台PC能互相 ping通，因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口，首先必须进入这个接口的配置模式模式,首先进入全局配置模式，然后输入进入指定接口配置模式，命令格式如下 例如：进入快速以太网口的第0个端口，步骤是： Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口，每个接口都有其IP地址，IP地址的配置是使用接口必须考虑的，命令如下： Router#config terminal

实验报告hcna综合实验

HCNA实验手册 组名：一班一组 班级：网络安全一班

目录 实验一：HCNA 综合实验 (2) 实验目的： (2) 技术原理： (3) 实验拓扑： (3) 操作步骤： (4) 要求一: 内部客户端A属于VLAN 10，内部客户端B属于VLAN 20； (4) 要求二：内部三台交换机之间的双链路使用以太通道将链路聚合； (6) 要求三：内部三台交换机使用GVRP协议同步VLAN数据，内部三层交换机为SERVER角色； (9) 要求五: 边界两台路由器实现网关冗余，要求默认流量从边界路由器A向外传输；10要求六：内部路由使用OSPF协 (10) 要求七：分别映射两台WEB服务器的TCP 80端口至两台边界路由器的外部端口； (11) 要求八：不允许内部客户端A访问WEB服务器A；不允许内部客户端B访问WEB服务器的TCP 80端口。 (12) 基本配置九：ip地址的配置和一些vlan (13) 步骤七：测试 (15) 注意事项 (16) 实验：HCNA 综合实验 实验目的： 1 掌握hcna所学的所有技术的原理 2 掌握HCNA所学的所有技术的命令配置 1所使用的技术: vlan acl 三层技术 nat gvrp vrrp stp ip

技术原理： 1 vlan :虚拟局域网 2 acl：访问控制列表 3 三层技术：实验vlan间互通 4 nat :网络地址转换 5 gvrp：vlan 注册技术 6 vrrp : 虚拟路由冗余协议 7 stp :生成树 8 ip : 网际协议: 实验拓扑：

操作步骤： 要求一: 内部客户端A属于VLAN 10，内部客户端B属于VLAN 20； 1.内部客户端A属于VLAN 10 二层交换机 Sys SYSname 2SWA 1.2SWA 创建vlan vlan batch 10 interface Ethernet0/0/5 port link-type access port default vlan 10 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 #

访问控制列表实验.详解

实验报告如有雷同，雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表（ACL）实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图，注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为和）。 【实验原理】 基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选 项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在 此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生 效，其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效，一般需要下面的配置步骤。 （1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装和和配置路由器。 （3）在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U，下载安装后见如下界面。 先新建域：

H3C实验报告大全【含18个实验】17.0-标准ACL

标准ACL 实验人：高承旺 实验名称：标准acl 实验要求： 不让1.1.1.1 ping通3.3.3.3 实验拓扑： 实验步骤： 网络之间开启RIP协议！ [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0

[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后，测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound

实验十二 访问控制列表实验报告

实验十二访问控制列表 一、试验目的 1. 熟悉路由器的标准访问控制列表配置方法 2. 了解路由器的扩展访问控制列表配置方法 二、相关知识 访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一指令进行匹配，一旦获得匹配，则后续的指令将被忽略。 路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL，可以采用数字标识的方式。在使用ACL数字标识时，必须为每一协议的访问控制列表分配唯一的数字，并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围：1-99；扩展IP协议的ACL取值范围：100-199。 1标准ACL的相关知识 标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。 （1）标准ACL列表的定义 Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log] Access-list-num:ACL号（1-99） Deny:若测试条件成立，则拒绝相应的数据包 Permit:若测试条件成立，则接受相应的数据包 Source:源IP地址（网络或主机均可） Source-wildcard:与源IP地址配合使用的通配掩码 Log:是否就ACL事件生成日志 （2）标准ACL列表的接口配置 Router(config-if)#ip access-group access-list-number {in | out} 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。 in:指定相应的ACL被用于对从该接口进入的数据包进行处理。 out:指定相应的ACL被用于对从该接口流出的数据包进行处理。 注：在路由器的每一个端口，对每个协议、在每个方向上只能指定一个ACL列表 2扩展ACL的相关知识 扩展ACL是对标准ACL功能上的扩展，其不仅可以基于源和目标IP地址数据包的测试，还可基于协议类型和TCP端口号进行数据包的测试，从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况

访问控制列表实验报告

实训报告 实验名称访问控制列表 课程名称计算机网络 1.实验目的 掌握访问控制列表的概念。 能对路由器进行访问控制列表的设置。 2.实验环境 （1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。 （2）在计算机上安装有windows xp 的操作系统，并且安装有Cisco Packet Tracer 软件。 3.实训规划和拓扑图规划：

4、实验要求： 要求：a、Lan 1 不能访问lan 2 . b、Lan 1 能访问lan 3 不能访问lan 4. c、Lan 2能访问lan 4 不能访问lan 3. 5、实验步骤： （1）按照规划，构建拓扑图。（标注好各个接口，和ip地址）（2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip 2.通过show ip route是否学到全网的路由。R1结果如下： R2结果如下： （3）配置访问控制列表： 针对要求：Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)

在R1：access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R1的接口f0/1: ip access-group 1 out 针对要求：Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照) 在R2 :access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R2.f0/1 ip access-group out 针对要求：Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照) 在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255 aceess-list 2 permit any R2.f0/0:ip access-group 2 out 6、实验结果： （1）针对要求：Lan 1 不能访问lan 2. 测试有以下结果： pc1 ping pc2不通，符合要求1，如下图所示。 Pc2 ping pc1如下图： Pc1上路由跟踪pc2: （2）针对要求：Lan 1 能访问lan 3 不能访问lan 4 Pc1 ping pc3:结果如下

访问控制列表(ACL)配置实验报告

实验四访问控制列表（ACL）配置 1、实验目的： （1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。 （2）思科交换机的基本ACL配置 2、实验环境： 利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。 3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。 （2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交 换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口 令、各端口的参数）。 （3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。将该列表应用于路由器的相应端口。然后， 进行相应的Ping测试。 （4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。将该列表 应用于路由器的相应端口，最后进行相应的Ping测试。 2.3 实验步骤 （1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。 （2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为： 255.255.255.0，网关为：192.168.1.1，如下图2-2所示：

访问控制列表实验

访问控制列表 一、实训目的 了解网络防线-----访问控制列表的作用和配置方法，了解基本访问控制列表和扩展访问控制列表的含义 二、实训内容 1.环境：3台路由器、1台交换机、7台计算机 2.内容：掌握基本访问控制列表的作用和配置方法。 三、实训步骤 按下图搭建网络，并根据下述任务配置好各IP地址和RIP动态路由。 1.配置路由器到网络各点可通 设置为RIP动态路由，IP地址分配如下： PCA ip:10.65.1.1gateway:10.65.1.2 PCB ip:10.66.1.1gateway:10.66.1.2 PCC ip:10.69.1.1gateway:10.69.1.2 PCD ip:10.70.1.1gateway:10.70.1.2 PCE ip:10.65.1.3gateway:10.65.1.2

PCF ip:10.65.2.1gateway:10.65.1.2 PCG ip:12.1.1.1gateway:12.1.1.2 SWA ip:10.65.1.8gateway:10.65.1.2 RouterA f0/0: 10.65.1.2实际还应该设置另一个IP：12.1.1.2 RouterA f0/1: 10.66.1.2 RouterA s0/1: 10.68.1.2 RouterC s0/0: 10.68.1.1 RouterC s0/1: 10.78.1.2 RouterB s0/0: 10.78.1.1 RouterB f0/0: 10.69.1.2 RouterB f0/1: 10.70.1.2 2.基本的访问控制列表： 先从PCA ping PCD: [root@PCA @root]#ping 10.70.1.1 (通) 在ROC的s0/0写一个输入的访问控制列表： RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0 RouterC(config)#access-list 1 deny any RouterC(config)#int s0/0 RouterC(config-if)#ip access-group 1 in