思科访问控制列表实验案例

访问控制列表实验ACL可以限制网络流量、提高网络性能，为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。

ACL可以限制网络流量、提高网络性能，为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。

用户需要配置路由协议，以下配置的是RIP Version1的，也可以配置别的，如EIGRP或OSPF。

一、实验拓扑图二、实验要求要求内网可以主动访问外网，但是外网不能主动访问内网，从而有效保护内网。

三、实验配置1、配置路由器，并在R1、R3上配置默认路由确保IP连通性。

R1(config)#interface s0/0/0R1(config)#ip address 192.168.12.1 255.255.255.0R1(config)#no shutdownR1(config)#interface g0/0R1(config)#ip address 172.16.1.1 255.255.255.0R1(config)#no shutdownR1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2R2(config)#interface s0/0/0R2(config)#ip address 192.168.12.2 255.255.255.0R2(config)#no shutdownR2(config)#interface s0/0/1R2(config)#ip address 202.210.23.2 255.255.255.0R2(config)#no shutdownR3(config)#interface loopback 0R3(config)#ip address 3.3.3.3 255.255.255.0R3(config)#no shutdownR3(config)#interface s0/0/1R3(config)#ip address 202.210.23.3 255.255.255.0R3(config)#no shutdownR3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.22、在路由器R2上配置自反ACLR2(config)#ip access-list extended ACLOUTR2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL R2(config-ext-nacl)#permit udp any any reflect REFR2(config)#ip access-list extended ACLINR2(config-ext-nacl)#evaluate REF //评估反射R2(config)#int s0/0/1R2(config-if)#ip access-group ACLOUT outR2(config-if)#ip access-group ACLIN inPS：(1)、自反ACL永远是permit的;(2)、自反ACL允许高层Session信息的IP包过滤;(3)、利用自反ACL可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流量，从而可以更好地保护内部网络;(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的，并且当Session 结束条目就删除;(5)、自反ACL不是直接被应用到某个接口下的，而是嵌套在一个扩展命名访问列表下的。

访问控制列表ACL,地址转换网络设计与规划实验五访问控制列表ACL，地址转换通过本实验，学生可以掌握以下技能:1.理解标准ACL的概念和工作原理；2.掌握标准ACL的配置方法;3.掌握NAT的配置及验证方法。

5.2实验任务1.配置标准ACL使得某个网段中只有指定的设备能够访问其它子网；配置NAT。

5.3实验设备CISCO2600路由器两台，带网卡的PC机四台，网线若干，集线器两个；5.4实验环境如图1所示线缆连接完成后，给所有设备加电，开始进行实验。

要求达到如下目标：1，192.168.1.11能够访问子网192.168.0.0，而192.168.1.12不能够访问子网192.168.0.0；2，192.168.1.0子网中，只有192.168.1.11能够对路由器进行配置、管理；5.5实验报告要求实验报告信息要求完整，包括学号、姓名、班级、专业、课程名称、教师名称、实验目的、实验任务、实验环境、实验步骤及详细记录、实验过程中存在的问题及实验心得体会等内容。

1.通过PC1上的超级终端连接路由器router1，并为路由器命名Router> enablre terminalRouter(config)#Router(config)# hostname R1router1(config)#2.设置路由器R1的s0/0端口的IP地址R1(config)# interface s0/0R1(config-if)# ip address 192.168.101.1255.255.255.0R1(config-if)# no shutdown3.设置路由器R1的Ethernet0/0端口的IP地R1(config)# int f0/0R1(config-if)# ip address 192.168.0.1 255.255.255.0R1(config-if)# no shutdown4.类似方法设置路由器R25.设置PC1的IP地址192.168.0.11，网关为192.168.0.16.设置PC2的IP地址192.168.0.12，网关为192.168.0.17.设置PC3的IP地址192.168.1.11，网关为192.168.1.18.设置PC4的IP地址192.168.1.12，网关为192.168.1.19.在R1上启用RIP协议R1# configure terminalR1(config)#router ripR1(config)#network 192.168.0.0R1(config)#network192.168.101.010.在R2上启用RIP协议R1# configure terminalR1(config)#router ripR1(config)#network 192.168.1.0R1(config)#network 192.168.101.011.测试PC2与PC3、PC4的连通性，在pc2上Pc2>ping 192.168.0.12以及Pc2>ping 192.168.0.1112.测试PC1与PC3、PC4的连通性，在pc2上Pc1>ping 192.168.0.12以及Pc1>ping 192.168.0.11现在配置一切正常，PC1及pc2能够与pc3和pc4通信，并且返回的ip地址也是实际去连接的ip地址。

访问控制列表（ACL）配置实验报告实验四访问控制列表（ACL）配置1、实验目的：（1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。

（2）思科交换机的基本ACL配置2、实验环境：利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。

通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。

3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。

（2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数）。

（3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。

将该列表应用于路由器的相应端口。

然后，进行相应的Ping测试。

（4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。

将该列表应用于路由器的相应端口，最后进行相应的Ping测试。

2.3 实验步骤（1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。

（2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为：255.255.255.0，网关为：192.168.1.1，如下图2-2所示：其他PC机的配置方法类似，配置如下：PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1（3）进入第一台思科1912交换机的CLI界面，做如下配置：>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面，将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2，子网掩码配置为255.255.255.0，默认网关与其他PC 机一样，为192.168.1.1 ，最后退出全局配置界面。

思科acl实验报告思科ACL实验报告引言网络安全是现代社会中一个非常重要的议题，任何一个组织或个人都应该重视网络安全的保护。

为了加强网络安全，思科提供了一种有效的工具，即访问控制列表（ACL），它可以帮助管理员限制网络流量并保护网络免受潜在的威胁。

本实验报告将介绍ACL的基本概念、配置和应用，并通过实际案例展示ACL的作用和效果。

ACL的基本概念ACL是一种用于过滤网络流量的安全功能，它可以根据预定义的规则来允许或拒绝特定类型的流量通过网络设备。

ACL通常应用于路由器、交换机等网络设备上，以控制进出设备的数据流。

ACL规则由许多因素组成，如源IP地址、目标IP地址、传输协议、端口号等，管理员可以根据实际需求定义这些规则。

ACL的配置和应用在思科设备上，配置ACL需要使用命令行界面（CLI）或图形用户界面（GUI）。

首先，我们需要确定ACL的类型，包括标准ACL和扩展ACL。

标准ACL基于源IP地址来过滤流量，而扩展ACL可以基于源IP地址、目标IP地址、传输协议、端口号等多个因素进行过滤。

接下来，我们需要定义ACL规则。

例如，我们可以创建一个标准ACL规则，允许来自特定IP地址的流量通过，并拒绝其他所有流量。

配置ACL规则时，我们还可以指定规则的优先级，以确保流量按照预期的方式进行过滤。

一旦ACL规则定义完毕，我们需要将ACL应用到特定的接口或设备上。

通过将ACL应用到接口，我们可以控制流入或流出该接口的数据流。

这样，我们就可以限制特定IP地址的访问，阻止潜在的网络攻击或滥用。

ACL的实际应用ACL可以应用于各种场景，下面我们将通过一个实际案例来展示ACL的作用和效果。

假设我们是一家中型企业的网络管理员，我们需要保护内部网络免受外部恶意攻击。

我们可以使用ACL来限制外部IP地址对内部网络的访问。

首先，我们创建一个扩展ACL规则，允许内部员工的IP地址访问内部网络，同时拒绝所有其他IP地址的访问。

cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

访问控制列表acl实验报告访问控制列表（ACL）实验报告引言：访问控制列表（ACL）是一种用于网络设备和操作系统中的安全机制，用于限制用户或进程对资源的访问权限。

通过ACL，管理员可以精确地控制谁可以访问特定的资源，以及访问的方式和权限。

本实验报告将介绍ACL的基本概念、实验目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行讨论。

一、ACL的基本概念ACL是一种由许多规则组成的表格，每个规则都包含一个或多个条件和一个动作。

条件可以基于源IP地址、目标IP地址、源端口、目标端口、协议类型等进行匹配。

动作可以是允许或拒绝访问。

ACL通常应用于网络设备（如路由器和交换机）或操作系统的防火墙功能，用于过滤和控制进出网络的流量。

二、实验目的本实验的目的是通过配置和测试ACL，了解ACL的工作原理、应用场景和配置方法。

通过实验，我们可以深入理解ACL对网络安全的重要性，以及如何使用ACL来保护网络资源免受未经授权的访问。

三、实验环境本实验使用了一台配置了Cisco IOS操作系统的路由器作为实验设备。

路由器上有多个接口，分别连接到不同的网络。

我们将通过配置ACL来控制不同网络之间的通信流量。

四、实验步骤1. 配置ACL规则：首先，我们需要确定要保护的资源和规定访问权限。

根据实验需求，我们可以创建多个ACL规则，每个规则对应一个特定的访问需求。

例如，我们可以创建一个规则，允许内部网络的用户访问外部网络的HTTP服务，但禁止访问其他协议。

通过配置源IP地址、目标IP地址和协议类型等条件，我们可以精确地定义ACL规则。

2. 应用ACL规则：一旦我们创建了ACL规则，就需要将其应用到适当的接口或设备上。

在路由器上，我们可以将ACL规则应用到特定的接口，以控制从该接口进出的流量。

通过配置入站和出站的ACL规则，我们可以限制流量的方向和访问权限。

3. 测试ACL效果：配置完成后，我们需要测试ACL的效果，确保ACL规则能够正确地过滤和控制流量。

访问控制列表实验报告《访问控制列表实验报告》摘要：本实验旨在通过实际操作，了解和掌握访问控制列表（ACL）的基本概念和应用。

通过对ACL的配置和管理，实现对网络资源的访问控制和权限管理。

本文将详细介绍实验的目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行总结和分析。

1. 实验目的访问控制列表（ACL）是一种用于控制网络资源访问权限的重要机制，通过ACL可以对网络流量进行过滤和控制，保护网络安全。

本实验旨在通过实际操作，掌握ACL的基本概念和配置方法，实现对网络资源的访问控制和权限管理。

2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网，通过路由器进行网络流量的控制和管理。

实验中使用了Cisco路由器，并配置了基本的网络环境和访问控制列表。

3. 实验步骤（1）配置路由器基本网络环境，包括IP地址、子网掩码等；（2）创建访问控制列表，并定义访问控制规则；（3）将访问控制列表应用到路由器的接口上，实现对网络流量的控制和管理；（4）测试ACL的效果，验证ACL对网络流量的过滤和控制。

4. 实验结果通过实验操作，成功创建了访问控制列表，并将其应用到路由器的接口上。

在测试过程中，发现ACL可以有效地对网络流量进行过滤和控制，实现了对特定IP地址或端口的访问限制。

5. 问题与解决在实验过程中，遇到了一些配置和测试中的问题，如ACL规则的定义和应用不当导致网络流量无法正常通过等。

通过查阅资料和与实验指导老师讨论，最终找到了解决方案，并成功完成了实验目标。

6. 总结与展望本次实验通过实际操作，加深了对访问控制列表的理解和应用，掌握了ACL的配置和管理技术。

ACL作为网络安全的重要手段，对于保护网络资源和数据具有重要意义。

未来，可以进一步学习和探索ACL在实际网络环境中的应用，提高网络安全性和管理效率。

通过本次实验，对访问控制列表有了更深入的了解，掌握了其基本配置和应用方法，为今后的网络管理和安全工作奠定了基础。

思科访问控制列表实验案例1. 配置路由器到网络各点可通网络如图，动态路由已设好，IP地址分配如下：RouterA f0/0: 10.65.1.2RouterA f0/1: 10.66.1.2RouterA s0/1: 10.68.1.2RouterC s0/0: 10.68.1.1RouterC s0/1: 10.78.1.2RouterB s0/0: 10.78.1.1RouterB s0/1: 10.69.1.2RouterB f0/0: 10.70.1.2SWA:10.65.1.8 gateway:10.65.1.2PCA:10.65.1.1 gateway:10.65.1.2PCB:10.66.1.1 gateway:10.66.1.2PCC:10.69.1.1 gateway:10.69.1.2PCD:10.70.1.1 gateway:10.70.1.2PCE:10.65.1.3 gateway:10.65.1.2PCF:10.65.2.1 gateway:10.65.1.22. 基本的访问控制列表：先从PCA ping PCD:[root@PCA @root]#ping 10.70.1.1 (通)在ROC的s0/0写一个输入的访问控制列表：RouterC(config)#access-lilt 1 permit 10.65.1.1 0.0.0.0RouterC(config)#access-list 1 deny anyRouterC(config)#int s0/0RouterC(config-if)#ip access-group 1 inRouterC(config-if)#endRouterC#sh access-list 1[root@PCA @root]#ping 10.70.1.1 (通)[root@PCE @root]#ping 10.70.1.1 (不通)[root@PCE @root]#ping 10.66.1.1 (通)[root@PCB @root]#ping 10.70.1.1 (不通)[root@PCD @root]#ping 10.66.1.1 (通)第一个ping，PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是允许的，所以通。

ACL原理及配置实例ACL是Access Control List的缩写，即访问控制列表，是网络设备上用来限制网络流量的一种功能。

ACL可以根据不同的条件对网络流量进行过滤和控制，以实现网络安全策略的目的。

ACL工作原理：ACL通过一个规则列表来决定对流量的处理方式，这个规则列表包含了匹配条件和动作两部分。

ACL会逐条匹配流量，并根据匹配结果执行相应的动作，通常包括允许、拒绝或者重定向到特定的目标地址。

ACL的规则列表按照优先级从高到低依次进行匹配，一旦匹配成功则不再进行后续的匹配。

因此，规则列表的顺序非常重要，应该将最常匹配的规则放在前面，这样可以提高ACL的效率。

ACL的配置实例：下面以思科路由器为例，演示ACL的配置过程。

1.创建一个ACL：首先，需要创建一个ACL用于定义规则列表。

ACL可以基于源地址、目标地址、源端口、目标端口、协议等条件进行过滤。

```Router(config)# ip access-list extended ACL_NAME```ACL_NAME是ACL的名称，可以自定义。

2.添加规则到ACL：在ACL中添加规则，来定义对网络流量的过滤行为。

每个规则都可以包含多个条件和一个动作。

```Router(config-ext-nacl)# permit/deny protocol source-address source-wildcarddestination-address destination-wildcard [operator [port]]```其中，protocol表示协议类型，可以是tcp、udp、icmp等；source-address和destination-address表示源地址和目标地址；source-wildcard和destination-wildcard表示源地址和目标地址的通配符掩码；operator表示具体的操作符，可以是eq、gt、lt、range等；port表示端口号或范围。