实例操作：路由器ACL实验过程详细讲解

ACL实验配置的实验报告ACL实验配置的实验报告一、引言网络安全是当今互联网时代的重要议题之一。

为了保护网络资源的安全性，许多组织和个人采取了访问控制列表（Access Control List，简称ACL）的配置方法。

本文将介绍ACL实验配置的实验报告，探讨ACL在网络安全中的应用和效果。

二、实验目的本次实验旨在通过配置ACL来控制网络流量，实现对特定IP地址或端口的访问控制。

通过实验，我们将了解ACL的基本原理和配置方法，并评估ACL在网络安全中的实际效果。

三、实验环境本次实验使用了一台具备路由器功能的设备，该设备支持ACL功能。

我们将在该设备上进行ACL配置和测试。

四、实验步骤1. 配置ACL规则我们首先登录到设备的管理界面，进入ACL配置页面。

根据实验要求，我们配置了两条ACL规则：- 允许特定IP地址的访问：我们设置了一条允许来自IP地址为192.168.1.100的主机访问的规则。

- 阻止特定端口的访问：我们设置了一条阻止访问端口号为80的规则，以模拟对HTTP协议的限制。

2. 应用ACL规则配置完ACL规则后，我们将其应用到设备的出口接口上。

这样，所有经过该接口的流量都将受到ACL规则的限制。

3. 测试ACL效果为了验证ACL的效果，我们进行了以下测试：- 尝试从IP地址为192.168.1.100的主机访问设备，结果显示访问成功，符合我们的预期。

- 尝试从其他IP地址访问设备，结果显示访问被拒绝，ACL规则起到了限制作用。

- 尝试访问设备的80端口，结果显示访问被拒绝，ACL规则成功限制了对HTTP协议的访问。

五、实验结果与分析通过实验，我们成功配置了ACL规则，并验证了ACL在网络安全中的实际效果。

ACL能够限制特定IP地址或端口的访问，从而提高网络资源的安全性。

通过合理配置ACL规则，可以防止未经授权的访问和攻击，保护网络的机密性和完整性。

六、实验总结ACL在网络安全中起到了重要的作用。

路由器配置实验：配置实现ACL一、实验目的1．熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。

2．掌握使用show access-list，show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。

3．能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的网络拓扑图，并能实现拓扑的物理连接4．熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法二、实验环境PC机一台，并安装PACKET TRACER 5.0或以上版本三、实验步骤1.每人一机，安装并配置Cisco Packet Tracer V5.00模拟配置工具2.在Cisco Packet Tracer V5.00模拟配置路由器中通过添加和连接设备构建出本实验的实际相应的拓扑实验拓扑：3、逐个单击网络拓扑图中的每台设备，进入设备的命令交互操作，进行工作模式的切换和选择4、利用命令检查设备的相关配置及信息5、联系使用路由器/交换机IOS提供的CLI帮助系统和常用编辑功能键6、在 Cisco Packet Tracer V5.0模拟配置工具中，依据绘制的出的本实验的网络拓扑图，进行相应的设备基本呢配置及配置检查测试四、实验过程Step1：利用Cisco Packet Tracer V5.0模拟配置工具绘制本实验的拓补图Step2: 配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200)Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1)Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)Step15:配置R1的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 1.1.1.3、子网掩码: 255.255.255.0、激活端口: no shutdown）Step16:配置R1的Fastethernet0/1端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 2.2.2.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step17:配置R1的Serial0/0端口；（IP地址、子网掩码、封装WAN协议帧格式、激活端口）（IP地址：3.3.3.1、子网掩码：255.255.255.252、封装W AN协议帧格式：encap PPP、激活端口：no shut）Step18:配置R2的Serial0/0端口；（时钟频率、IP地址、子网掩码、封装WAN协议帧格式、激活端口）（时钟频率：clock rate 64000、IP地址：3.3.3.2、子网掩码：255.255.255.252、封装W AN 协议帧格式：encap PPP、激活端口：no shut）Step19:配置R2的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 4.4.4.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step20:测试当前各PC设备至各节点的连通性并记录下来。

acl配置实验报告ACL配置实验报告一、实验目的本实验旨在通过配置ACL（Access Control List）来实现对网络设备的访问控制，保护网络安全，限制非授权用户的访问权限，提高网络设备的安全性。

二、实验环境本次实验使用了一台路由器和多台主机，通过配置ACL来限制主机对路由器的访问权限。

三、实验步骤1. 首先，登录路由器，进入配置模式。

2. 创建ACL，并定义访问控制列表的规则。

可以通过指定源IP地址、目的IP地址、协议类型、端口等条件来限制访问。

3. 将ACL应用到路由器的接口上，实现对该接口的访问控制。

4. 测试ACL的效果，尝试从不同的主机访问路由器，验证ACL是否生效。

四、实验结果经过配置ACL后，我们成功限制了某些主机对路由器的访问权限，只允许特定的主机进行访问。

ACL的规则生效，非授权主机无法访问路由器，有效保护了网络设备的安全。

五、实验总结通过本次实验，我们深入了解了ACL的配置和应用，学会了如何通过ACL来实现对网络设备的访问控制。

ACL是网络安全的重要手段之一，能够有效保护网络设备的安全，限制非授权用户的访问权限，提高网络的安全性。

六、实验感想ACL的配置虽然需要一定的技术和经验，但是通过实验的学习和实践，我们对ACL有了更深入的理解，掌握了ACL的配置方法和应用技巧。

在今后的网络管理和安全工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

七、展望ACL作为网络安全的重要手段，将在未来的网络管理和安全工作中发挥越来越重要的作用。

我们将继续深入学习ACL的相关知识，不断提升自己的技术水平，为网络安全做出更大的贡献。

通过本次实验，我们对ACL的配置和应用有了更深入的了解，相信在今后的学习和工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

ACL配置实验报告至此完毕。

路由器ACL实验详细过程讲解实验拓扑图：实验环境说明：1、将路由器R1的Fa0/0接口的ip设为：192.168.0.1/24；将S1/2接口的ip设为：192.168.1.1/24；2、将路由器R2的Fa0/0接口的ip设为：192.168.2.2/24；将S1/2接口的ip设为：192.168.1.2/24；3、将路由器R3的Fa0/0接口的ip设为：192.168.0.3/24；关闭其路由功能，模拟PC使用；实验结果要求:1、在R2上做访问控制列表，使R3不能telnet到R2；2、在R1上做访问控制列表，使R1不能ping通R2 。

实验环境的基本配置：R1配置清单：1、为R1的Fa0/0接口配置IP，并设为全双工模式：R1(config)#int fa0/0R1(config-if)#speed 100R1(config-if)#duplex fullR1(config-if)#ip add 192.168.0.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exit2、为R1的S1/2接口配置IP：R1(config)#int s1/2R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR2的配置清单：1、为R2的Fa0/0接口配置IP，并设为全双工模式：R2(config)#int fa0/0R2(config-if)#speed 100R2(config-if)#duplex fullR2(config-if)#ip add 192.168.2.2 255.255.255.0R2(config-if)#no shutR2(config-if)#exit 2、为R2的S1/2接口配置IP：R2(config)#int s1/2R2(config-if)#ip add 192.168.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#exit3、在R2上增加一条静态路由以实现和R3通信：R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.14、在R2上设置用户密码和线路密码，为下一步的telnet服务：R2(config)#enable password 123456R2(config)#line vty 0 4R2(config-line)#password 123456R3的配置清单：R3(config)#no ip routing //关闭路由功能，模拟PCR3(config)#int fa0/0R3(config-if)#speed 100R3(config-if)#duplex fullR3(config-if)#ip add 192.168.0.3 255.255.255.0R3(config-if)#no shutR3(config-if)#exitSW1的配置清单：分别将fa1/13、fa1/14、fa1/15接口设为全双工模式：SW1(config)#int fa1/13SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#exitSW1(config)#int fa1/14SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#exitSW1(config)#int fa1/15SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#exit所有的基本配置完成后，我们测试从R3tenlnet到R2,结果如下：R3#telnet 192.168.1.2Trying 192.168.1.2 ... Open User Access VerificationPassword:R2>enPassword:R2#exit[Connection to 192.168.1.2 closed by foreign host] 上面的结果说明我们的配置是正确的，现在我们就来在R2上配置访问控制列表，以实现“R3 不能telnet到R2”的实验要求。

实验11：在路由器上配置访问控制（ACL ）实验一、实验目的1、 理解ACL 的原理2、 掌握在路由器上配置ACL 的方法二、实验设备计算机中安装了Boson NetSim 网络模拟软件三、实验原理及内容IP ACL 实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性四、实验步骤1、使用Boson Network Designer 设计如下的网络拓扑图，并导入到Boson NetSim 中 （注意：这里的路由器应选择2621型号）2、按照实验目的的拓朴图对网络进行配置（过程略）3、配置Router1、Router2的动态路由Router1(config)#route ripRouter1(config-route)#version 2PC2PC1PC3 Router1 Router2192.168.1.1/24 F0/1S0/0 S0/0 F0/0 F0/0192.168.1.2/24192.168.2.1/24 192.168.2.2/24 192.168.3.1/24 192.168.3.2/24 192.168.4.1/24192.168.4.2/24Router1(config-route)#network 192.168.1.0Router1(config-route)#network 192.168.2.0Router1(config-route)#network 192.168.3.0Router2(config)#route ripRouter2(config-route)#version 2Router2(config-route)#network 192.168.3.0Router2(config-route)#network 192.168.4.0（配置Router1、Router2的静态路由Router1(config)# ip router 192.168.4.0 255.255.255 s0/0Router2(config)# ip router 192.168.1.0 255.255.255 s0/0Router2(config)# ip router 192.168.2.0 255.255.255 s0/0）4、配置IP ACLRouter2(config)#access-list 1 deny 192.168.2.0 0.0.0.255 否认,不准Router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255 允许5、应用IP ACL1）Router2(config)#interface f0/02）Router2(config)#ip access-group 1 out 在接口出栈流调用6、验证测试(进入PC1)1）ping 192.168.4.2问题：能否ping通? 能(进入PC2)2）ping 192.168.4.2问题：能否ping通? 不能。

实验二ACL简单配置1.实验要求网络结构如下图1所示，路由器Ra有两个快速以太网接口连接内网，分别是Fa0/0 : 210.31.10.0/24，Fa0/1 : 210.31.20.0/24；路由器Ra通过串行接口s0/0/0连接到Rb的串行接口s0/0/0；路由器Rb的快速以太网接口Fa0/0与两台服务器相连。

Ra路由器一端的内网用户可以通过Ra和Rb访问服务器。

2.实验目的熟练掌握IP访问控制列表（ACL）的配置方法。

(1)标准ACL配置方法：●ACCESS-LIST access-list-number{DENY|PERMIT|REMARK} protocol sourcesource-wildcard destination destination-wildcard option●IP ACCESS-GROUP access-list-number {IN|OUT}(2)扩展ACL配置方法：●ACCESS-LIST access-list-number{DENY|PERMIT|REMARK} protocol sourcesource-wildcard destination destination-wildcard option●IP ACCESS-GROUP access-list-number {IN|OUT}3.实验设备Devices PC Server Server Router SwitchType * DNS WWW 2811 2950-24Quantity 4 1 1 2 24.实验拓扑图图1 实验拓扑图5.实验任务1)如上拓扑结构图将设备连接好；2)配置各个PC机和Server的IP，将配置好的IP填到下表：Devices IP Subnet-mask GatewayPC1 210.31.10.1 255.255.255.0 210.31.10.254PC2 210.31.10.2 255.255.255.0210.31.10.254PC3 210.31.20.1 255.255.255.0 210.31.20.254PC4 210.31.20.2 255.255.255.0 210.31.20.254DNS 192.168.1.1 255.255.255.0 192.168.1.254WWW 192.168.1.2 255.255.255.0 192.168.1.2543)配置路由器的各个接口的IP地址（路由器的路由协议已经配置好）：Devices S0/0/0 Fa0/0 Fa0/1 Ra 10.0.0.1 210.31.10.254 210.31.20.254Rb 10.0.0.2 192.168.1.254Ra 路由：Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface fa0/0Router(config-if)#ip address 210.31.10.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#interface fa0/1Router(config-if)#ip address 210.31.20.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Router(config-if)#interface se0/0/0Router(config-if)#ip address 10.0.0.1 255.0.0.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downRouter(config-if)#Rb 路由：Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface fa0/0Router(config-if)#ip address 192.168.1.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#interface se0/0/0Router(config-if)#ip address 10.0.0.2 255.0.0.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upRouter(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up Router(config-if)#4)用ping命令测试各个设备的物理联通性；PC>ping 210.31.10.2Pinging 210.31.10.2 with 32 bytes of data:Reply from 210.31.10.2: bytes=32 time=141ms TTL=128Reply from 210.31.10.2: bytes=32 time=59ms TTL=128Reply from 210.31.10.2: bytes=32 time=62ms TTL=128Reply from 210.31.10.2: bytes=32 time=33ms TTL=128Ping statistics for 210.31.10.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 33ms, Maximum = 141ms, Average = 73msPC>ping 210.31.20.1Pinging 210.31.20.1 with 32 bytes of data:Request timed out.Reply from 210.31.20.1: bytes=32 time=125ms TTL=127Reply from 210.31.20.1: bytes=32 time=78ms TTL=127Reply from 210.31.20.1: bytes=32 time=125ms TTL=127Ping statistics for 210.31.20.1:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 78ms, Maximum = 125ms, Average = 109msPC>ping 210.31.20.2Pinging 210.31.20.2 with 32 bytes of data:Request timed out.Reply from 210.31.20.2: bytes=32 time=125ms TTL=127Reply from 210.31.20.2: bytes=32 time=125ms TTL=127Reply from 210.31.20.2: bytes=32 time=90ms TTL=127Ping statistics for 210.31.20.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 90ms, Maximum = 125ms, Average = 113msPC>ping 192.168.1.1Pinging 192.168.1.1 with 32 bytes of data:Request timed out.Reply from 192.168.1.1: bytes=32 time=125ms TTL=126Reply from 192.168.1.1: bytes=32 time=125ms TTL=126Reply from 192.168.1.1: bytes=32 time=156ms TTL=126Ping statistics for 192.168.1.1:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 125ms, Maximum = 156ms, Average = 135ms5）系统调试期间，①禁止PC1访问Rb路由器一端的服务器，其他PC机均能访问；②只允许210.31.20.0/24网段访问Rb路由器内部Server2的WWW服务，拒绝访问该服务器上的其他服务；③禁止192.168.1.0/24网段的ICMP协议数据包通向210.31.20.0/24网段。

ACL技术原理浅析及实例ACL（Access Control List）是网络安全中用于实现访问控制的一种技术，它通过对网络流量进行过滤，只允许特定的用户、IP 地址、端口等可以通过网络。

通常，ACL技术应用于路由器、交换机、防火墙等网络设备中。

ACL主要基于两种原理：允许列表和拒绝列表。

允许列表是指只有特定的用户、网络地址、端口等得到许可，其他所有的流量都被阻挡。

拒绝列表则是指特定的用户、网络地址、端口等被拒绝，其他所有的流量都被允许通过。

通常情况下，ACL的实现是基于拒绝列表，因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。

ACL可以应用于多种场景中，其中最常见的场景是网络边缘（如路由器和交换机）和防火墙控制。

以下是两个ACL实例：实例1：路由器ACL假设你有一个位于本地网络上的路由器，你需要保护其免受身份验证失败的攻击。

为了实现这一点，你可以使用ACL来控制每个进入该路由器的IP数据包。

为了创建ACL，你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表（standard IP extended access list）。

有了这个列表，你可以控制进入该路由器的每个数据包，以便仅允许经过授权的用户通过访问。

以下是创建标准IP扩展访问列表的示例命令：access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器，同时拒绝来自其他网络或单个IP地址的流量。

实例2：防火墙ACL假设你拥有一个防火墙来保护公共网络的安全，你需要实现对特定IP地址和端口的访问控制。

为了实现这个目标，你可以使用ACL来过滤掉所有未经授权的访问请求。

你需要创建一个标准ACE （Access Control Entry）列表，该列表包含允许和拒绝访问的IP地址、端口等信息。

以下是创建标准ACE列表的示例命令：access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问，同时拒绝所有其他来源的80端口访问请求。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。