访问控制列表实验

实验十二、十三IP访问控制列表（ACL）实验1 标准IP访问列表[实验目的]掌握标准IP访问列表规则及配置。

[背景描述]你是一个公司的网络管理员，公司一经理部门用户PC1和一销售部门用户PC2在同一网段内，而财务部门PC3在另一分公司且属另一网段，三部门以下图方式进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部门用户PC1可以对财务部门PC3进行访问。

[实现功能]实现网段间相互访问的安全控制。

[实验拓扑][实验设备]R1762路由器（2台），交换机或集线器（1台）。

[实验步骤]第一步：基本配置Router1配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/2Router(config-if)#ip add 172.16.0.1 255.255.0.0Router(config-if)#no shutRouter(config-if)#int f1/0Router(config-if)#ip add 192.168.0.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2Router2配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/3Router(config-if)#ip add 172.16.0.2 255.255.0.0Router(config-if)#no shutRouter(config-if)#clock rate 64000Router(config-if)#int f1/0Router(config-if)#ip add 192.168.1.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/3各PC机IP可按上图示设置为：PC1：IP 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.254；PC2：IP 192.168.0.2 netmask 255.255.255.0 gateway 192.168.0.254；PC3：IP 192.168.1.1 netmask 255.255.255.0 gateway 192.168.1.254。

《网络技术实验》（第二版）学号:姓名:成绩：实验六：访问控制列表一：拓扑图：二：标准实验内容：1：使其各个联通：2在PC0上进行标准ACL：原理：允许过滤源地址和目的地址。

标准ACL的格式：access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log] （list-number是1到99之间的一个整数，表示访问控制列表编号）（1）、配置标准IP访问控制列表：（2）显示标准ACL：（3）测试其联通性，由下图知：由图知PC0不通，PC1和PC2联通。

（4）、PC0机通过URL访问服务器Server0：三，扩展IP访问控制列表：原理：允许过滤源地址和目的地址。

标准ACL的格式：access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log]（list-number是1到99之间的一个整数，表示访问控制列表编号）原理：扩展IP访问控制列表扩展了对信包的过滤能力，它可以根据以下内容过滤信包：协议类型、源地址、目的地址、源端口、目的端口等。

基本格式：access-list [list-number][permit|deny][protocol|protocol keyword][source address] [source-wildcard][source port][destination address] [destination-wildcard][destination port][log]（其中list-number的含义和标准IP访问控制列表的相同，只是号码从100-199。

）（1）、配置扩展IP访问控制列表：(2）用icmp来做：（3）用tcp来做：四;实验总结：通过此次实验，在前面几次试验学习的基础上，对路由的设置更加熟悉，并学会了，用基本ACL和扩展ACL对PC机的访问进行设置，对计算机网络的管理有一定的了解，希望在今后的学习当中，能学到更多。

访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签：控制列表配置职场休闲【网络环境】网络时代的高速发展，对网络的安全性也越来越高。

西安凌云高科技有限公司因为网络建设的扩展，因此便引入了访问控制列表(ACL)来进行控制，作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢？【网络目的】明白ACL访问控制列表的原理、以及正确的配置；按照网络拓扑图的要求来正确的连接设备。

创建访问控制列表来满足我们所定义的需求；【网络拓扑】【实验步骤】第一步：配置Router1的端口IP地址：（注意：在配置之前我们先要明白ACL访问控制列表的工作原理；ACL访问控制列表的原理是它是以包过滤技术，在路由器上读取OSI7层模型的第三层和第四层包头中的信息，根据自己预先定义好的规则，对包进行过滤，从而来达到访问控制的目的。

我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段？但是又怎么样才能让它们互相通信？根据拓扑图：我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类，AC L通过在接口路由器上接口出控制数据包是转发还是丢弃，来过滤通信流量。

路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是，从而来决定该数据包是转发还是丢弃！！！）第二步：配置Router2的端口IP地址：（注意：ACL访问控制列表分为最基本的两种，它们是标准访问控制列表和扩展访问控制列表：标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。

结果是基于源网络/子网/主机的IP地址，来决定该数据包是转发还是拒绝该数据包；它所使用1~99之间的数字作为表号。

扩展访问控制列表是对数据包的源地址和目的地址均进行检查，它也可以检查特定的协议、端口号以及其他的修改参数。

它所使用的是100~199之间的数字作为表号；我们在这里只对标准访问控制列表和扩展访问控制列表进行说明；还有一些例如：基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。

一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。

三、实验设备PC 3台；Router-PT 3台；交叉线；DCE串口线；Server-PT 1台；四、实验步骤标准IP访问控制列表配置：新建Packet Tracer拓扑图（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置路由器接口IP地址。

（3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

（4）在R1上编号的IP标准访问控制。

（5）将标准IP访问控制应用到接口上。

（6）验证主机之间的互通性。

扩展IP访问控制列表配置：新建Packet Tracer拓扑图（1）分公司出口路由器与外路由器之间通过V.35电缆串口连接，DCE 端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置PC机、服务器及路由器接口IP地址。

（3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才涉及到访问控制列表。

（4）在R2上配置编号的IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

五、实验结果标准IP访问控制列表配置：PC0：PC1：PC2：PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置：PC0：Server0：六、实验心得与体会实验中对ACL的配置有了初步了解，明白了使用ACL可以拒绝、允许特定的数据流通过网络设备，可以防止攻击，实现访问控制，节省带宽。

其对网络安全有很大作用。

另外，制作ACL时如果要限制本地计算机访问外围网络就用OUT，如果是限制外围网络访问本地计算机就用IN。

两者的区别在于他们审核访问的时候优先选择哪些访问权限。

【实验题目】访问控制列表（ACL ）实验 【实验目的】1. 掌握标准访问列表规则及配置。

2. 掌握扩展访问列表规则及配置。

3. 了解标准访问列表和扩展访问列表的区别。

【实验内容】1. 使用RIP 路由协议连通实验网（实现三台PC 的相互通信）。

2. 配置标准ACL 并验证，注意在实验报告中体现前后对比。

限制PC3访问PC2，说明放置位置，放置方向（in/out ），为什么。

3. 配置扩展ACL 并验证，注意在实验报告中体现前后对比。

限制PC3访问PC2，说明放置位置，放置方向（in/out ），为什么。

并比较标准ACL 和扩展ACL 的区别。

（注意先将标准ACL 移除） 4. 在三个路由器使用DEBUG IP ICMP 命令跟踪数据包（测试时使用PING -T 命令）。

【实验拓扑】要求画出拓扑图【实验步骤】1. 使用RIP 路由协议连通实验网（实现三台PC 的相互通信）。

步骤1：Router1基本配置1） 为Router1的F0/0端口设置ip 地址 192.168.1.1 255.255.255.0，从关闭状态设为打开状态。

2） 为Router1的F0/1端口设置ip 地址 192.168.2.1 255.255.255.0，从关闭状态设为打开状态。

3） 为Router1的serial 2/0 端口设置ip 地址 192.168.3.1 255.255.255.0,时钟频率为64000，从关闭状态设为打开状态。

步骤2：Router2基本配置1） 为Router2 的F0/0 端口设置ip 地址 192.168.4.2 255.255.255.0, 从关闭状态设为打开状态。

2) 为Router2的serial 2/0 端口设置ip 地址 192.168.3.2 255.255.255.0, 从关闭状态设为打开状态。

步骤3：Router1 配置RIP 路由协议Router1(config)# router ripRouter1(config-router)#network 192.168.1.0 Router1(config-router)#network 192.168.2.0 Router1(config-router)#network 192.168.3.0 Router1(config-router)#version 2 Router1(config-router)#no auto-summary院系 班 级 组长学号 学生步骤4：Router2 配置RIP 路由协议Router2(config)# router ripRouter2(config-router)#network 192.168.3.0Router2(config-router)#network 192.168.4.0Router2(config-router)#version2Router2(config-router)#no auto-summary各台机可互相ping通：2.配置标准ACL并验证，注意在实验报告中体现前后对比。

访问控制列表实验报告介绍访问控制列表（Access Control List）是一种用于网络安全的重要工具。

它用于限制用户或设备对网络资源的访问权限，以保护网络的安全和保密性。

在本实验中，我们将学习如何配置和管理访问控制列表，并通过实际的示例来演示ACL的工作原理和应用。

实验目标本实验的目标是帮助学生理解访问控制列表的基本概念和配置方法。

具体而言，我们将关注以下方面：1.访问控制列表的作用和用途；2.如何配置和管理访问控制列表；3.不同类型的访问控制列表及其应用场景。

实验步骤步骤一：了解访问控制列表访问控制列表是一种在路由器或交换机上配置的规则集合，用于控制网络流量的访问权限。

它基于源地址、目的地址、协议类型等条件来限制特定用户或设备对网络资源的访问权限。

ACL可以分为两种类型：标准ACL和扩展ACL。

标准ACL仅使用源地址作为匹配条件，而扩展ACL可以使用更多的条件来进行匹配，例如源地址、目的地址、协议类型、端口号等。

步骤二：配置访问控制列表在这个实验中，我们将使用一台路由器进行ACL的配置示例。

以下是一些基本的ACL配置命令：Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255上述命令创建了一个标准ACL，允许所有源地址为192.168.0.0/16的流量通过。

Router(config)# access-list 2 permit tcp any host 192.168.1.1 eq 80上述命令创建了一个扩展ACL，允许任何源地址的TCP流量通过到目的地址为192.168.1.1、目的端口号为80的主机。

步骤三：应用访问控制列表完成ACL的配置后，我们需要将其应用到实际的接口或接口组上。

以下是一些基本的ACL应用命令：Router(config-if)# ip access-group 1 in上述命令将ACL 1应用到接口的入方向，用于限制进入该接口的流量。

实验七 标准访问控制列表一、编号标准访问控制列表1．按图7-1将实验设备连接好。

图7-12．对PC 和路由器进行基本配置。

A. PC 机配置PC1的IP 地址为192.168.1.10，子网掩码为255.255.255.0，默认网关为192.168.1.1。

PC2的IP 地址为192.168.2.10，子网掩码为255.255.255.0，默认网关为192.168.2.1。

PC3的IP 地址为192.168.3.10，子网掩码为255.255.255.0，默认网关为192.168.3.1。

B.路由器基本配置R1(config)#interface fastethernet 1/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface fastethernet 1/1R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface serial 1/2R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#endR1#show ip interface brief R1#configure terminalR1(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2PC3 3.10192.168.3.0/24192.168.12.0/24PC1 R1R2F1/0 3.1S1/2 12.2S1/2 12.1R2(config)#interface fastethernet 1/0R2(config-if)#ip address 192.168.3.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exitR2(config)#interface serial 1/2R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#endR2#show ip interface brief R2#configure terminalR2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.13. 测试网络的连通性。

访问控制列表（ACL）配置实验报告实验四访问控制列表（ACL）配置1、实验目的：（1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。

（2）思科交换机的基本ACL配置2、实验环境：利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。

通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。

3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。

（2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数）。

（3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。

将该列表应用于路由器的相应端口。

然后，进行相应的Ping测试。

（4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。

将该列表应用于路由器的相应端口，最后进行相应的Ping测试。

2.3 实验步骤（1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。

（2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为：255.255.255.0，网关为：192.168.1.1，如下图2-2所示：其他PC机的配置方法类似，配置如下：PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1（3）进入第一台思科1912交换机的CLI界面，做如下配置：>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面，将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2，子网掩码配置为255.255.255.0，默认网关与其他PC 机一样，为192.168.1.1 ，最后退出全局配置界面。