标准ACL访问控制列表实验

实验2 访问控制列表(ACL)1. 实验目的•编写和应用路由器的访问控制列表。

•掌握利用ACL构筑简单的包过虑防火墙的原理。

2. 实验要求1.独立完成实验内容；2.实验报告；（简单要求如下）1)各实验操作步骤；2)回答实验中提出的问题3)实验结论及分析3. 实验内容实验环境：路由器两台，交叉线一条，交换机两台，学生实验主机在上面的实验环境中，，配置适当的ACL ，实现对特定主机和特定服务的访问控制。

实验环境说明： 1.两个路由器用f0/1 口进行互连2.两个路由器用f0/0口连接实验主机 3.R1 和R2 均配置静态路由(动态路由也行)4.两边主机能互相连通3.1按实验图连接线路3.2标准访问控制列表的配置3.2.1 限制特定主机（网络）的访问在全局配置模式下对R1 进行以下配置R1(config)#ip access-list standard 10R1(config)#permit 192.168.3.1 255.255.255.255R1(config)#interface f0/0R1(config-if)#ip access-group 10 out效果：此时只有192.168.3.1 一台主机能访问192.168.1.0 的网络。

其他非192.168.1.0 网络的主机均无法访问192.168.1.0 网络。

3.2.2 自我测验：设计标准ACL，只允许192.168.3.1 和192.168.1.1 这两个IP 能互相访问___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________3.3 扩展访问控制列表的配置3.3.1 限制对特定服务的访问在R1上配置telnet服务R1(config)# username abc password abc //用户名密码 R1(config)# aaa authentication login login_fortelnet local //配置aaa认证 R1(config)# line vty 0 4 //配置 vtyR1(config_line)# login authentication login_fortelnetR1(config_line)# exit在全局配置模式下对R1 进行以下配置R1(config)#ip access-list extended 101R1(config)#permit tcp 192.168.1.2 255.255.255.255 any eq telnetR1(config)#interface f0/0R1(config-if)#ip access-group 101 in（R2可参照R1的配置方法来配置）想想看：这个ACL 起了什么作用？如何进行验证？___________________________________________________________________________ ___________________________________________________________________________3.3.2 自我测验：如果两个路由器的f0/0 端口的ACL 配置如下：R1(config)#ip access-list extended 10R1(config)#permit 192.168.1.1 255.255.255.255R1(config)#interface f0/0R1(config-if)#ip access-group 10 inR2(config)# ip access-list extended 10R2(config)#permit 192.168.1.1 255.255.255.255R2(config)#interface f0/0R2(config-if)#ip access-group 10 out请问192.168.1.1 的机器能够ping 通192.168.3 网段内的机器吗?为什么?___________________________________________________________________________ ___________________________________________________________________________学一招：可以通过show ip access-list 命令列出所定义的访问控制列表的情况，并且还可以看到有多少个符合ACL 命令条件的匹配包被接收或拒绝。

acl访问控制列表实验报告ACL访问控制列表实验报告摘要：本实验报告旨在介绍ACL访问控制列表的基本概念和原理，并通过实验验证ACL在网络安全中的作用。

通过实验，我们验证了ACL对网络流量的控制和过滤功能，以及其在网络安全中的重要性。

引言：在网络安全中，访问控制是一项重要的措施，用于保护网络资源免受未经授权的访问和攻击。

ACL访问控制列表是一种常用的访问控制技术，它可以根据预先设定的规则来控制网络流量的访问权限，从而有效地保护网络安全。

实验目的：本实验旨在通过实际操作，验证ACL访问控制列表对网络流量的控制和过滤功能，以及其在网络安全中的重要性。

实验环境：本次实验使用了一台路由器和多台主机组成的简单局域网环境。

我们将在路由器上配置ACL规则，来控制主机之间的通信权限。

实验步骤：1. 配置ACL规则：在路由器上，我们通过命令行界面配置了多条ACL规则，包括允许和拒绝某些主机之间的通信。

2. 实验验证：通过在主机之间进行ping测试和HTTP访问测试，验证ACL规则对网络流量的控制和过滤功能。

实验结果：通过实验验证，我们发现ACL访问控制列表可以有效地控制和过滤网络流量。

通过配置ACL规则，我们成功地限制了某些主机之间的通信，同时允许了其他主机之间的通信。

这表明ACL在网络安全中起着重要的作用，可以有效地保护网络资源免受未经授权的访问和攻击。

结论：ACL访问控制列表是一种重要的访问控制技术，可以有效地控制和过滤网络流量，保护网络安全。

通过本次实验，我们验证了ACL在网络安全中的重要性，以及其对网络流量的控制和过滤功能。

我们希望通过这次实验，增强对ACL技术的理解，提高网络安全意识，为网络安全工作提供参考和借鉴。

实验十 ACL访问控制列表一、实验目的掌握编号的标准IP访问列表规则及配置。

二、实验要求实现网段间互相访问的安全控制。

三、实验内容你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的三个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

四、实验环境锐捷R2624或R2620路由器（1台）。

五、实验步骤和方法实验步骤：第一步：基本配置Red-Giant>Red-Giant>enableRed-Giant#configure terminalRed-Giant(config)#hostname R1R1(config)# interface fastEthernet 0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config-if)# interface fastEthernet 1R1(config-if)#ip add 192.168.2.1 255.255.255.0R1(config-if)#no shR1(config-if)#interface fastEthernet 3R1(config-if)#ip add 192.168.3.1 255.255.255.0R1(config-if)#no shR1(config-if)#end测试命令：show ip interface brief ！观察接口状态R1#sh ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0 192.168.1.1 YES manual up up FastEthernet1 192.168.2.1 YES manual up up FastEthernet2 unassigned YES unset administratively down down FastEthernet3 192.168.3.1 YES manual up up Serial0 unassigned YES unset administratively down downSerial1 unassigned YES unset administratively down down第二步：配置标准IP访问控制列表R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255 ! 拒绝来自192.168.1.0网段的流量通过R1(config)#access-list 1 permit 192.168.3.0 0.0.0.255 ! 允许来自192.168.3.0网段的流量通过验证测试：show access-lists 1R1#sh access-lists 1Standard IP access list 1deny 192.168.1.0, wildcard bits 0.0.0.255permit 192.168.3.0, wildcard bits 0.0.0.第三步：把访问控制列表在接口下应用R1(config)# interface fastEthernet 1R1(config-if)#ip access-group 1 out ! 在接口下访问控制列表出栈流量调用验证测试：show ip access-lists 1ping(192.168.1.0网段的主机不能ping通192.168.2.0网段的主机；192.168.3.0网段的主机能ping通192.168.2.0网段的主机)注意事项：●注意在访问控制列表的网络掩码是反掩码；●标准控制列表要应用在尽量靠近目的地址的接口；●注意标准访问控制列表的编号是从1-99 。

访问控制列表ACL,地址转换网络设计与规划实验五访问控制列表ACL，地址转换通过本实验，学生可以掌握以下技能:1.理解标准ACL的概念和工作原理；2.掌握标准ACL的配置方法;3.掌握NAT的配置及验证方法。

5.2实验任务1.配置标准ACL使得某个网段中只有指定的设备能够访问其它子网；配置NAT。

5.3实验设备CISCO2600路由器两台，带网卡的PC机四台，网线若干，集线器两个；5.4实验环境如图1所示线缆连接完成后，给所有设备加电，开始进行实验。

要求达到如下目标：1，192.168.1.11能够访问子网192.168.0.0，而192.168.1.12不能够访问子网192.168.0.0；2，192.168.1.0子网中，只有192.168.1.11能够对路由器进行配置、管理；5.5实验报告要求实验报告信息要求完整，包括学号、姓名、班级、专业、课程名称、教师名称、实验目的、实验任务、实验环境、实验步骤及详细记录、实验过程中存在的问题及实验心得体会等内容。

1.通过PC1上的超级终端连接路由器router1，并为路由器命名Router> enablre terminalRouter(config)#Router(config)# hostname R1router1(config)#2.设置路由器R1的s0/0端口的IP地址R1(config)# interface s0/0R1(config-if)# ip address 192.168.101.1255.255.255.0R1(config-if)# no shutdown3.设置路由器R1的Ethernet0/0端口的IP地R1(config)# int f0/0R1(config-if)# ip address 192.168.0.1 255.255.255.0R1(config-if)# no shutdown4.类似方法设置路由器R25.设置PC1的IP地址192.168.0.11，网关为192.168.0.16.设置PC2的IP地址192.168.0.12，网关为192.168.0.17.设置PC3的IP地址192.168.1.11，网关为192.168.1.18.设置PC4的IP地址192.168.1.12，网关为192.168.1.19.在R1上启用RIP协议R1# configure terminalR1(config)#router ripR1(config)#network 192.168.0.0R1(config)#network192.168.101.010.在R2上启用RIP协议R1# configure terminalR1(config)#router ripR1(config)#network 192.168.1.0R1(config)#network 192.168.101.011.测试PC2与PC3、PC4的连通性，在pc2上Pc2>ping 192.168.0.12以及Pc2>ping 192.168.0.1112.测试PC1与PC3、PC4的连通性，在pc2上Pc1>ping 192.168.0.12以及Pc1>ping 192.168.0.11现在配置一切正常，PC1及pc2能够与pc3和pc4通信，并且返回的ip地址也是实际去连接的ip地址。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

实验五ACL实验一、实验目的1. 了解什么是ACL。

2. 掌握标准访问控制列表、扩展访问控制列表、基于名称的访问控制列表的用途和配置方法。

二、实验设备三层交换机；两台路由器；PC；Windows 98/2000操作系统；拓扑图；网线；交叉线；三、实验原理（一）ACL访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

（二）标准控制列表访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL1、标准访问控制列表的格式访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

访问控制列表（ACL）实验报告1. 实验简介本实验旨在介绍访问控制列表（Access Control List，ACL）的基本概念和使用方法。

ACL是一种用于限制对网络资源访问的方式，通过配置规则表来控制网络流量的传输。

本实验将分为以下几个步骤进行。

2. 实验环境在进行实验前，我们需要准备以下环境：•一台已安装操作系统的计算机•网络设备（如路由器、交换机等）•网络拓扑图（可参考附录）3. 实验步骤步骤一：了解ACL的基本概念在开始配置ACL之前，我们需要了解ACL的基本概念。

ACL由一条或多条规则组成，每条规则定义了一种访问控制策略。

ACL可以基于源IP地址、目标IP地址、协议类型、端口号等信息进行过滤。

步骤二：创建ACL对象我们首先需要在网络设备上创建ACL对象。

打开命令行界面，输入以下命令来创建一个名为“ACL1”的ACL对象：config terminalip access-list extended ACL1步骤三：配置ACL规则接下来，我们可以通过添加ACL规则来实现访问控制。

假设我们要限制某个IP地址的访问权限，可以输入以下命令来添加ACL规则：permit ip 192.168.0.1 any上述命令表示允许IP地址为192.168.0.1的主机访问任何目标IP地址。

同样地，我们可以添加更多的规则来满足需求。

步骤四：将ACL应用到接口在配置完ACL规则后，我们需要将ACL应用到网络设备的接口上，以实现访问控制。

假设我们要将ACL1应用到接口GigabitEthernet0/1上，可以输入以下命令：interface GigabitEthernet0/1ip access-group ACL1 in上述命令中的“in”表示将ACL应用到入向流量上。

如果需要将ACL应用到出向流量上，可以使用“out”参数。

步骤五：验证ACL配置最后，我们需要验证ACL的配置是否生效。

可以通过发送测试流量来检查ACL 是否按照预期工作。

访问控制列表acl实验报告访问控制列表（ACL）实验报告引言：访问控制列表（ACL）是一种用于网络设备和操作系统中的安全机制，用于限制用户或进程对资源的访问权限。

通过ACL，管理员可以精确地控制谁可以访问特定的资源，以及访问的方式和权限。

本实验报告将介绍ACL的基本概念、实验目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行讨论。

一、ACL的基本概念ACL是一种由许多规则组成的表格，每个规则都包含一个或多个条件和一个动作。

条件可以基于源IP地址、目标IP地址、源端口、目标端口、协议类型等进行匹配。

动作可以是允许或拒绝访问。

ACL通常应用于网络设备（如路由器和交换机）或操作系统的防火墙功能，用于过滤和控制进出网络的流量。

二、实验目的本实验的目的是通过配置和测试ACL，了解ACL的工作原理、应用场景和配置方法。

通过实验，我们可以深入理解ACL对网络安全的重要性，以及如何使用ACL来保护网络资源免受未经授权的访问。

三、实验环境本实验使用了一台配置了Cisco IOS操作系统的路由器作为实验设备。

路由器上有多个接口，分别连接到不同的网络。

我们将通过配置ACL来控制不同网络之间的通信流量。

四、实验步骤1. 配置ACL规则：首先，我们需要确定要保护的资源和规定访问权限。

根据实验需求，我们可以创建多个ACL规则，每个规则对应一个特定的访问需求。

例如，我们可以创建一个规则，允许内部网络的用户访问外部网络的HTTP服务，但禁止访问其他协议。

通过配置源IP地址、目标IP地址和协议类型等条件，我们可以精确地定义ACL规则。

2. 应用ACL规则：一旦我们创建了ACL规则，就需要将其应用到适当的接口或设备上。

在路由器上，我们可以将ACL规则应用到特定的接口，以控制从该接口进出的流量。

通过配置入站和出站的ACL规则，我们可以限制流量的方向和访问权限。

3. 测试ACL效果：配置完成后，我们需要测试ACL的效果，确保ACL规则能够正确地过滤和控制流量。