acl配置实验
ACL实验配置的实验报告
ACL实验配置的实验报告ACL实验配置的实验报告一、引言网络安全是当今互联网时代的重要议题之一。
为了保护网络资源的安全性,许多组织和个人采取了访问控制列表(Access Control List,简称ACL)的配置方法。
本文将介绍ACL实验配置的实验报告,探讨ACL在网络安全中的应用和效果。
二、实验目的本次实验旨在通过配置ACL来控制网络流量,实现对特定IP地址或端口的访问控制。
通过实验,我们将了解ACL的基本原理和配置方法,并评估ACL在网络安全中的实际效果。
三、实验环境本次实验使用了一台具备路由器功能的设备,该设备支持ACL功能。
我们将在该设备上进行ACL配置和测试。
四、实验步骤1. 配置ACL规则我们首先登录到设备的管理界面,进入ACL配置页面。
根据实验要求,我们配置了两条ACL规则:- 允许特定IP地址的访问:我们设置了一条允许来自IP地址为192.168.1.100的主机访问的规则。
- 阻止特定端口的访问:我们设置了一条阻止访问端口号为80的规则,以模拟对HTTP协议的限制。
2. 应用ACL规则配置完ACL规则后,我们将其应用到设备的出口接口上。
这样,所有经过该接口的流量都将受到ACL规则的限制。
3. 测试ACL效果为了验证ACL的效果,我们进行了以下测试:- 尝试从IP地址为192.168.1.100的主机访问设备,结果显示访问成功,符合我们的预期。
- 尝试从其他IP地址访问设备,结果显示访问被拒绝,ACL规则起到了限制作用。
- 尝试访问设备的80端口,结果显示访问被拒绝,ACL规则成功限制了对HTTP协议的访问。
五、实验结果与分析通过实验,我们成功配置了ACL规则,并验证了ACL在网络安全中的实际效果。
ACL能够限制特定IP地址或端口的访问,从而提高网络资源的安全性。
通过合理配置ACL规则,可以防止未经授权的访问和攻击,保护网络的机密性和完整性。
六、实验总结ACL在网络安全中起到了重要的作用。
acl配置实验报告
acl配置实验报告ACL配置实验报告一、实验目的本实验旨在通过配置ACL(Access Control List)来实现对网络设备的访问控制,保护网络安全,限制非授权用户的访问权限,提高网络设备的安全性。
二、实验环境本次实验使用了一台路由器和多台主机,通过配置ACL来限制主机对路由器的访问权限。
三、实验步骤1. 首先,登录路由器,进入配置模式。
2. 创建ACL,并定义访问控制列表的规则。
可以通过指定源IP地址、目的IP地址、协议类型、端口等条件来限制访问。
3. 将ACL应用到路由器的接口上,实现对该接口的访问控制。
4. 测试ACL的效果,尝试从不同的主机访问路由器,验证ACL是否生效。
四、实验结果经过配置ACL后,我们成功限制了某些主机对路由器的访问权限,只允许特定的主机进行访问。
ACL的规则生效,非授权主机无法访问路由器,有效保护了网络设备的安全。
五、实验总结通过本次实验,我们深入了解了ACL的配置和应用,学会了如何通过ACL来实现对网络设备的访问控制。
ACL是网络安全的重要手段之一,能够有效保护网络设备的安全,限制非授权用户的访问权限,提高网络的安全性。
六、实验感想ACL的配置虽然需要一定的技术和经验,但是通过实验的学习和实践,我们对ACL有了更深入的理解,掌握了ACL的配置方法和应用技巧。
在今后的网络管理和安全工作中,我们将能够更好地应用ACL来保护网络设备的安全,提高网络的安全性。
七、展望ACL作为网络安全的重要手段,将在未来的网络管理和安全工作中发挥越来越重要的作用。
我们将继续深入学习ACL的相关知识,不断提升自己的技术水平,为网络安全做出更大的贡献。
通过本次实验,我们对ACL的配置和应用有了更深入的了解,相信在今后的学习和工作中,我们将能够更好地应用ACL来保护网络设备的安全,提高网络的安全性。
ACL配置实验报告至此完毕。
6实验六 ACL的配置
实验六 ACL的配置实验目的:1、学习使用ACL(访问控制列表)来控制网络访问;2、熟练掌握标准ACL、扩展ACL、命名ACL的配置及调试。
3、使用标准 ACL 控制对 vty 线路的访问实验知识要点:一、ACL简介访问控制列表简称为ACL( Access Control Lists ),它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
简而言之,访问控制列表是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合。
二、ACL实现的功能1、保护内部网络免受来自Internet的非法入侵;2、拒绝或允许流入(或流出)的数据流通过特定的接口;3、限制对虚拟终端端口的访问。
4、流量匹配NAT三、ACL工作流程五、ACL指令1、ACL的执行顺序。
当路由器在决定是否转发或者阻止数据包的时候,Cisco的IOS软件,按照ACL中指令从上至下的顺序依次检查数据包是否满足某一个指令条件。
直到找到一条可以匹配的语句,然后根据定义的规则做出相应的操作(拒绝或允许),如果所有的条件判断语句都检测完毕,仍没有匹配的条件语句,那么,该数据包将视为被拒绝或被丢弃(在ACL中,最后强加一条拒绝全部流量的暗含语句)。
所以,ACL中各语句的放置顺序很重要,相同的规则,顺序不同,将会出现不同的结果。
当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。
2、ACL的作用方向在每一个路由器的每一个端口,可以为每一个支持的Routed Protocols创建一个 ACL。
对于某些协议,可以创建多个ACL:一个用于过滤进入端口的数据流inbound,一个用于过滤流出端口的数据流outbound。
每个端口每个协议(IP、IPX、APPLETALK)每个方向(outbound、inbound)只能创建一个ACL。
3、ACL的放置原则扩展ACL尽量靠近源端;标准ACL尽量靠近目的端。
ACL实验配置
ACL实验配置ACL 高度总结:(以下总结希望都去做实验验证一下)1.为了避免 ACL 过多,号不够用,标准列表和扩展列表的范围进行了扩充标准:1-99,1300-1999扩展:100-199 ,2000-26992.路由器上的 ACL 不对自己产生的流量产生作用。
3.ACL 没有定义内容,就相当于不存在。
4.ACL 在一个接口的一个方向上只能配置一个访问列表,后面的会覆盖前面的5.不论是标准还是扩展列表,每个条目之间都是一个鼻孔出气,想要去掉某一个条目,实现不了,要么都去掉,要么都存在;但是命名的访问列表可以去掉单独的某一条目。
添加的条目会自动添加在末尾,不能在中间添加我们现在把R1和R5作为PC机,在R2、R3、R4上运行RIP v2,保障路由畅通。
一、标准ACL:要求: 192.168.1.0网络的数据不能访问192.168.4.0网络1、我们先在R2上配置ACL:access-list 1deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0的数据通过access-list 1 permit any 允许其它网络的数据通过在接口上应用:interface fa0/0ip access-group 1 in 在法FA0/0口的进方向上应用ACL1测试:用PC0去ping 192.168.4.2,我们发现ping不通,说明ACL生效了,但是我们用PC0去ping其它的网络,比如ping 172.16.1.1,也ping不通,因为标准ACL只能对源进行控制,现在R2拒绝了来自192.168.1.0的数据,不管是到哪儿去的,所以R1现在哪儿都去不了。
在R2上用扩展的ping ,用192.168.1.2这个s0口的地址去ping 192.168.4.2,我们发现可以ping通,这是因为对于路由器自己产生的数据,ACL不起作用。
2、我们在R4上配置ACL:access-list 1deny 192.168.1.0 0.0.0.255 access-list 1 permit any在接口上应用:interface Serial1ip access-group 1 out 在s0口的出方向上应用ACL1在R2上把ACL去掉。
计算机网络实验报告 访问控制列表ACL配置实验
一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。
三、实验设备PC 3台;Router-PT 3台;交叉线;DCE串口线;Server-PT 1台;四、实验步骤标准IP访问控制列表配置:新建Packet Tracer拓扑图(1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置路由器接口IP地址。
(3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。
(4)在R1上编号的IP标准访问控制。
(5)将标准IP访问控制应用到接口上。
(6)验证主机之间的互通性。
扩展IP访问控制列表配置:新建Packet Tracer拓扑图(1)分公司出口路由器与外路由器之间通过V.35电缆串口连接,DCE 端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置PC机、服务器及路由器接口IP地址。
(3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。
(4)在R2上配置编号的IP扩展访问控制列表。
(5)将扩展IP访问列表应用到接口上。
(6)验证主机之间的互通性。
五、实验结果标准IP访问控制列表配置:PC0:PC1:PC2:PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置:PC0:Server0:六、实验心得与体会实验中对ACL的配置有了初步了解,明白了使用ACL可以拒绝、允许特定的数据流通过网络设备,可以防止攻击,实现访问控制,节省带宽。
其对网络安全有很大作用。
另外,制作ACL时如果要限制本地计算机访问外围网络就用OUT,如果是限制外围网络访问本地计算机就用IN。
两者的区别在于他们审核访问的时候优先选择哪些访问权限。
实验4:ACL配置实验
第四次实验报告ACL配置实验实验目的1、掌握ACL的设计原则和工作过程2、掌握标准ACL的配置方法;3、掌握扩展ACL的配置方法;4、掌握两种ACL的放置规则5、掌握两种ACL调试和故障排除实验要求1、允许pc0特定主机访问网络;2、允许pc1所在网络访问网络;3、允许pc1所在网络访问www服务;4、给出具体的实验步骤和调试结果5、给出每台路由器上面的关于ACL配置清单。
实验拓扑给出本次实验的网络拓扑图,即实际物理设备的连接图。
实验设备四台路由器,两台pc机,一台服务器,5条交叉线,一条串口线实验设计到的基本概念和理论本部分主要涉及到实验用到的基本概念和理论,主要培养学生对所学知识的概况和再认识,以简单概要的方式给出实验设计到的基础概念和理论。
本实验主要涉及概念:ACL、标准ACL、扩展ACL、通配掩码等实验过程和主要步骤本部分给出实验的主要过程和步骤,可以通过图、表、数据等方式辅助。
尽可能通过IPO方法,给出一定的输入I(Input),利用中间加工P(Process)得出结果输出O(Output),要对三个主要的部分给出充分的说明。
本次实验采用192.168.0.0地址1.为pc机,服务器配置ip地址,子网掩码,默认网关,为路由器配置直连端口PC机:服务器:路由器:2.为路由器配置ospf协议在路由器8:在路由器14:4.ping在pc10:在Pc11:5.pc10上访问外网www服务:心得体会本次实验相比于前几次的实验难度上有了不少的提升,更为复杂,要清楚的划分好子网,而且要求对于ACL有清晰的认识,在标准与扩展ACL之间要根据实验灵活选用,另外要注意将ACL设置在那个端口,是in还是out。
ACL配置实例
ACL配置实例拓扑图如下:实验一:标准访问控制列表1、设置访问控制列表1,禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器,而192、168、2、0/24这个网段中得其它主机可以正常访问。
设置访问控制列表如下:R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2,只允许192、168、2、0/24这个网段中得主机可以访问外网,192、168、1、0/24这个网段得主机则不可以。
设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3,只允许192、168、2、3这台主机可以使用telnet连接R1。
4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据,可以使用clear access-list counters命令来清除。
5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手,一就是删除访问控制列表,二就是取消访问控制列表有接口上得应用。
R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二:扩展访问控制列表扩展访问控制列表得语法:access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下:2、测试从三台PC中就是否可以正常访问各种服务。
acl配置实验报告
acl配置实验报告ACL配置实验报告摘要:本实验报告旨在探讨ACL(Access Control List)配置的实验过程和结果。
ACL是一种用于网络设备中的访问控制机制,可以限制网络流量的传输和访问权限。
本实验通过实际配置ACL规则来验证其对网络流量的控制作用。
1. 引言ACL是网络设备中非常重要的一种安全机制,可以帮助网络管理员控制和管理网络流量。
通过ACL配置,可以限制特定IP地址、端口或协议的访问权限,从而提高网络的安全性和性能。
本实验旨在通过实际配置ACL规则,验证ACL在网络流量控制方面的有效性。
2. 实验环境本实验使用了一台路由器和多台主机构成的局域网。
路由器上运行着一套支持ACL功能的操作系统,并且已经配置好了网络接口和路由表。
主机之间可以通过路由器进行通信。
3. 实验步骤3.1 ACL规则设计在本实验中,我们设计了以下两条ACL规则:- 允许所有主机访问HTTP服务(端口号80)- 禁止某个特定IP地址访问SSH服务(端口号22)3.2 ACL配置在路由器的配置界面中,我们使用命令行界面(CLI)进行ACL配置。
首先,我们创建了两个ACL规则,分别命名为HTTP-ACL和SSH-ACL。
然后,我们为HTTP-ACL规则设置允许访问的目的端口为80,为SSH-ACL规则设置禁止访问的目的端口为22。
最后,我们将这两个ACL规则应用到路由器的入口接口。
4. 实验结果经过ACL配置后,我们进行了以下实验验证:4.1 HTTP服务访问首先,我们尝试从一个主机访问另一个主机上的HTTP服务。
结果显示,ACL 配置生效,允许访问HTTP服务的流量顺利通过,两台主机成功建立连接并进行数据传输。
4.2 SSH服务访问接下来,我们尝试从特定IP地址访问另一台主机上的SSH服务。
根据ACL配置,这个特定IP地址被禁止访问SSH服务。
实验结果显示,当我们尝试建立SSH连接时,连接被拒绝,无法成功进行认证和登录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ACL配置实验一、实验目的:深入理解包过滤防火墙的工作原理二、实验容:练习使用Packet Tracer模拟软件配置ACL三、实验要求A.拓扑结构如下图所示,1,2,3是主机,4是服务器1、配置主机,服务器与路由器的IP地址,使网络联通;2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。
使该配置生效,然后再删除该条ACL;3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。
使该配置生效,然后再删除该条ACL;B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)1、配置ACL 限制远程登录(telnet)到路由器的主机。
路由器R0只允许192.168.2.2 远程登录(telnet)。
2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。
3、配置ACL 禁止特点的协议端口通讯。
禁止192.168.2.2 使用www (80)端口访问192.168.1.0禁止192.168.2.3 使用dns (53)端口访问192.168.1.03、验证ACL 规则,检验并查看ACL。
四、实验步骤1、配置主机,服务器与路由器的IP地址,使网络联通;PC0 ping PC2PC1 ping 服务器服务器ping PC02、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。
使该配置生效,然后再删除该条ACL;Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2Router(config)#access-list 1 permit anyRouter(config)#int f 0/1Router(config-if)#ip access-group 1 outRouter(config-if)#exitRouter(config)#exitpc1 ping pc2和服务器pc0 ping pc2和服务器,可以ping通删除该条ACLRouter>enRouter#show access-listStandard IP access list 1deny host 192.168.1.2 (8 match(es))permit any (8 match(es))Router#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list standard softRouter(config-std-nacl)#no access-list 1Router(config)#exitRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#show access-listStandard IP access list softPC1重新ping PC2和服务器,可以ping通3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。
使该配置生效,然后再删除该条ACL;更改前更改aclRouter>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 101 deny tcp 192.168.1.2 255.255.255.0 192.168.2.2 255.255.255.0 eq 80Router(config)#access-list 101 permit ip any anyRouter(config)#int f 0/1Router(config-if)#ip access-group 101 outPc1不能访问服务器的www服务pc0 可以Pc1 可以ping 通服务器删除ACLRouter#show access-listStandard IP access list softExtended IP access list 101deny tcp 0.0.0.2 255.255.255.0 0.0.0.2 255.255.255.0 eq (65 match(es))permit ip any any (9 match(es))Router#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list extended 101Router(config-ext-nacl)#no access-list 101Router(config)#exitPc1又可以成功访问服务器的www服务。
实验BDNS服务器配置实验B基础配置各个主机ping 通服务器192.168.1.2;1、配置ACL 限制远程登录(telnet)到路由器的主机。
路由器R0只允许192.168.2.2 远程登录(telnet)。
gaozhuang-R0>enPassword:gaozhuang-R0#conf tEnter configuration commands, one per line. End with CNTL/Z.gaozhuang-R0(config)#access-list 1 permit host 192.168.2.2gaozhuang-R0(config)#line vty 0 4gaozhuang-R0(config-line)#access-class 1 ingaozhuang-R0(config-line)#2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。
gaozhuang-R2>engaozhuang-R2#conf tEnter configuration commands, one per line. End with CNTL/Z. gaozhuang-R2(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255gaozhuang-R2(config)#access-list 101 permit ip any anygaozhuang-R2(config)#int f 0/0gaozhuang-R2(config-if)#ip access-group 101 outgaozhuang-R2(config-if)#gaozhuang-R2#网段192.168.3.0 的ICMP 包不能访问网段192.168.1.0,但可以访问192.168.1.1:3、配置ACL 禁止特点的协议端口通讯。
禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0gaozhuang-R0>enPassword:gaozhuang-R0#conf tEnter configuration commands, one per line. End with CNTL/Z.gaozhuang-R0(config)#ip access-list extended ACL2gaozhuang-R0(config-ext-nacl)#deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq 80gaozhuang-R0(config-ext-nacl)#deny udp host 192.168.2.3 192.168.1.0 0.0.0.255 eq 53gaozhuang-R0(config-ext-nacl)#permit ip any any gaozhuang-R0(config-ext-nacl)#exitgaozhuang-R0(config)#int f 0/0gaozhuang-R0(config-if)#ip access-group ac12 in gaozhuang-R0(config-if)#exgaozhuang-R0(config)#之前之后PC13、验证ACL 规则,检验并查看ACL。
gaozhuang-R0#show access-listStandard IP access list 1permit host 192.168.2.2 (2 match(es))Extended IP access list ACL2deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq (321 match(es))deny udp host 192.168.2.3 192.168.1.0 0.0.0.255 eq domainpermit ip any any (16 match(es))gaozhuang-R0#show ip access-list acl2gaozhuang-R0#show ip access-list ACL2Extended IP access list ACL2deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq (321 match(es))deny udp host 192.168.2.3 192.168.1.0 0.0.0.255 eq domainpermit ip any any (16 match(es))查看路由2ACL协议。