锐捷、华为IP标准访问控制列表实验

《网络互联技术》课程实验指导书实验十一：标准访问控制列表配置当网络管理员想要阻止某一网络的所有通信流量时，或者允许来自某一特定网络的所有通信流量时，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表实现这一目标。

标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。

一、网络拓朴二、实验内容1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。

其结果是：（对于TCP数据包来说，访问是双向的，只要A不能访问B，则B也将不能访问A）●HostA和HostB之间可以通信，但无法访问HostC、HostD。

●HostC和HostD之间可以通信，但无法访问HostA、HostB。

2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止HostA、HostC访问Server E服务器。

由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量，因此，应该将ACL 访问控制列表放置离目标地址最近的地方。

三、实验目的1、掌握标准访问控制列表的原理2、掌握标准访问控制列表的配置四、实验设备1、一台台思科（Cisco）3620路由器2、两台思科（Cisco）2950二层交换机3、思科（Cisco）专用控制端口连接电缆4、四台安装有windows 98/xp/2000操作系统的主机5、一台提供WWW服务的WEB服务器6、若干直通网线与交叉网线五、实验过程（需要将相关命令写入实验报告）1、根据上述图示进行交换机、路由器、主机的连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255Router(config)# access-list 6 permit anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 6 outRouter(config-if)# exit5、配置访问控制列表10并将之添加到Ethernet 0/1接口的out方向上Router(config)# access-list 10 deny host 192.168.1.2Router(config)# access-list 10 deny host 192.168.2.2Router(config)# access-list 10 permit anyRouter(config)# interface ethernet 0/1Router(config-if)# ip access-group 10 outRouter(config-if)# exit6、查看设置的访问控制列表信息Router# show access-lists7、查看e 0/0 接口上设置的访问控制列表信息Router# show ip interface e 0/08、查看e 0/1 接口上设置的访问控制列表信息Router# show ip interface e 0/1六、思考问题1、请简述标准访问控制列表与扩展访问控制列表有何区别？2、请简述设置标准访问控制列表的操作过程。

访问控制列表实验报告介绍访问控制列表（Access Control List）是一种用于网络安全的重要工具。

它用于限制用户或设备对网络资源的访问权限，以保护网络的安全和保密性。

在本实验中，我们将学习如何配置和管理访问控制列表，并通过实际的示例来演示ACL的工作原理和应用。

实验目标本实验的目标是帮助学生理解访问控制列表的基本概念和配置方法。

具体而言，我们将关注以下方面：1.访问控制列表的作用和用途；2.如何配置和管理访问控制列表；3.不同类型的访问控制列表及其应用场景。

实验步骤步骤一：了解访问控制列表访问控制列表是一种在路由器或交换机上配置的规则集合，用于控制网络流量的访问权限。

它基于源地址、目的地址、协议类型等条件来限制特定用户或设备对网络资源的访问权限。

ACL可以分为两种类型：标准ACL和扩展ACL。

标准ACL仅使用源地址作为匹配条件，而扩展ACL可以使用更多的条件来进行匹配，例如源地址、目的地址、协议类型、端口号等。

步骤二：配置访问控制列表在这个实验中，我们将使用一台路由器进行ACL的配置示例。

以下是一些基本的ACL配置命令：Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255上述命令创建了一个标准ACL，允许所有源地址为192.168.0.0/16的流量通过。

Router(config)# access-list 2 permit tcp any host 192.168.1.1 eq 80上述命令创建了一个扩展ACL，允许任何源地址的TCP流量通过到目的地址为192.168.1.1、目的端口号为80的主机。

步骤三：应用访问控制列表完成ACL的配置后，我们需要将其应用到实际的接口或接口组上。

以下是一些基本的ACL应用命令：Router(config-if)# ip access-group 1 in上述命令将ACL 1应用到接口的入方向，用于限制进入该接口的流量。

【实训项目】访问控制列表ACL综合运用（一）【实训目的】掌握路由器访问控制列表的配置方法能够熟练的运用静态路由协议【实训内容】终端PC1不能访问路由器RB终端PC2可以访问路由器RB【实训设备】两台AR1200、两台PC、一台S3700【实训学时】2学时【实训步骤】一、按照拓扑图连接设备按照拓扑图连结设备，启动所有的设备二、三层交换机的配置<Huawei>undo terminal monitorInfo: Current terminal monitor is off.<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]interface Vlanif 1[Huawei-Vlanif1]ip address 192.168.1.254 24[Huawei-Vlanif1]undo shutdownInfo: Interface Vlanif1 is not shutdown.[Huawei-Vlanif1]quit[Huawei]vlan 2 //创建VLAN 2[Huawei-vlan2]quit[Huawei]interface Ethernet 0/0/22 //加入端口[Huawei-Ethernet0/0/22]port link-type access //设置端口模式[Huawei-Ethernet0/0/22]port default vlan 2 //将端口划分至VLAN [Huawei-Ethernet0/0/22]quit[Huawei]interface Vlanif 2 //进入虚拟接口[Huawei-Vlanif2]ip address 192.168.2.2 24 //配置IP地址[Huawei-Vlanif2]undo shutdown //开启虚拟接口Info: Interface Vlanif2 is not shutdown.[Huawei-Vlanif2]quit[Huawei]ip route-static 192.168.3.0 255.255.255.0 192.168.2.1三、路由器RA的配置<Huawei>undo terminal monitorInfo: Current terminal monitor is off.<Huawei>system-viewEnter system view, return user view with Ctrl+Z. [Huawei]sysname RA[RA]interface GigabitEthernet 0/0/0[RA-GigabitEthernet0/0/0]IP address 192.168.2.1 24[RA-GigabitEthernet0/0/0]undo shutdownInfo: Interface GigabitEthernet0/0/0 is not shutdown.[RA-GigabitEthernet0/0/0]quit[RA]interface GigabitEthernet 0/0/1[RA-GigabitEthernet0/0/1]IP address 192.168.3.1 24[RA-GigabitEthernet0/0/1]undo shutdownInfo: Interface GigabitEthernet0/0/1 is not shutdown.[RA-GigabitEthernet0/0/1]quit[RA]ip route-static 192.168.1.0 255.255.255.0 192.168.2.2 [RA]四、路由器RB的配置<Huawei>undo terminal monitorInfo: Current terminal monitor is off.<Huawei>system-viewEnter system view, return user view with Ctrl+Z. [Huawei]sysname RB[RB]interface GigabitEthernet 0/0/0[RB-GigabitEthernet0/0/0]IP address 192.168.3.2 24[RB-GigabitEthernet0/0/0]UNDO shutdownInfo: Interface GigabitEthernet0/0/0 is not shutdown.[RB-GigabitEthernet0/0/0]quit[RB]IP route-static 192.168.1.0 255.255.255.0 192.168.3.1 [RB]IP route-static 192.168.2.0 255.255.255.0 192.168.3.1 [RB]五、测试畅通性使用终端PC1、PC2去ping路由器RB，发现可以ping通六、在路由器RA上定义基本访问控制列表[RA]acl 2000[RA-acl-basic-2000]rule 1 deny source 192.168.1.1 0 //不允许PC1访问[RA-acl-basic-2000]rule 2 permit source 192.168.1.2 0 //允许PC2访问[RA-acl-basic-2000]rule permit //放行其他流量[RA-acl-basic-2000]display this //查看ACL配置结果[RA-acl-basic-2000]quit[RA]interface GigabitEthernet 0/0/1 //加入端口[RA-GigabitEthernet0/0/1]traffic-filter outbound acl 2000//将ACL应用在端口的出接口上[RA-GigabitEthernet0/0/1]quit[RA]七、测试结果使用终端PC1、PC2去ping路由器RB，发现PC2可以ping通，但是PC1已经无法ping通。

实验七标准IP访问控制列表配置实验七标准IP访问控制列表配置⼀、实验⽬的1．理解标准IP访问控制列表的原理及功能。

2．掌握编号的标准IP访问控制列表的配置⽅法。

⼆、实验环境R2600（2台）、主机（3台）、交叉线（3条）、DCE线（1条）。

三、实验背景你是公司的⽹络管理员，公司的经理部、财务部和销售部分属于不同的3个⽹段，三部门之间⽤路由器进⾏信息传递，为了安全起见，公司领导要求销售部不能对财务部进⾏访问，但经理部可以对财务部进⾏访问PC1代表经理部的主机，PC2代表销售部的主机，PC3代表财务部的主机。

四、技术原理ACLs的全称为接⼊控制列表；也称为访问列表，俗称为防⽕墙，在有的⽂档中还称之为包过滤。

ACLs通过定义⼀些规则对⽹络设备接⼝上的数据报⽂进⾏控制：允许通过或丢弃，从⽽提⾼⽹络可管理性和安全性。

IP ACLs分为两种：标准IP访问列表和扩展IP访问列表，标号范围分别为1~99、100~199。

标准IP访问列表可以根据数据包的源IP地址定义规则，进⾏数据包的过滤。

扩展IP访问列表可以数据包的源IP、⽬的IP、源端⼝、⽬的端⼝、协议来定义规则，进⾏数据包的过滤。

IP ACL基于接⼝进⾏规则的应⽤，分为：⼊栈应⽤和出栈应⽤。

五、实验步骤1、新建拓扑图2、路由器R1、R2之间通过V.35线缆通过串⼝连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

3、配置路由器接⼝IP地址。

4、在路由器R1、R2上配置静态路由协议或动态路由协议，让三台PC能互相ping通，因为只有在互通的前提下才能涉及到访问控制列表。

5、在R1上配置编号的IP标准访问列表。

6、将标准IP访问控制列表应⽤到接⼝上。

7、验证主机之间的互通性。

六、实验过程中需要的相关知识点1、进⼊指定的接⼝配置模式配置每个接⼝，⾸先必须进⼊这个接⼝的配置模式模式,⾸先进⼊全局配置模式，然后输⼊进⼊指定接⼝配置模式，命令格式如下例如：进⼊快速以太⽹⼝的第0个端⼝，步骤是：Router#config terminalRouter(config)#interface FastEthernet 1/02、配置IP地址除了NULL接⼝，每个接⼝都有其IP地址，IP地址的配置是使⽤接⼝必须考虑的，命令如下：Router#config terminalRouter(config)#interface FastEthernet 1/0Router(config-if)#ip address 192.168.1.1 255.255.255.03、关闭和重启接⼝在需要的时候，接⼝必须被关闭，⽐如在接⼝上更换电缆，然后再重新启动接⼝。

实验 8 标准IP访问控制列表配置实验目标理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；实验背景你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。

PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。

技术原理ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。

ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；实验步骤新建Packet Tracer拓扑图（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置路由器接口IP地址。

（3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

（4）在R1上编号的IP标准访问控制（5）将标准IP访问控制应用到接口上。

（6）验证主机之间的互通性。

实验设备PC 3台；Router-PT 2台；交叉线；DCE串口线；PC0IP: 172.16.1.2Submask: 255.255.255.0Gageway: 172.16.1.1PC1IP: 172.16.2.2Submask: 255.255.255.0Gageway: 172.16.2.1PC2IP: 172.16.4.2Submask: 255.255.255.0Gageway: 172.16.4.1Router0enconf thost R0int fa 0/0ip address 172.16.1.1 255.255.255.0no shutdownint fa 1/0ip address 172.16.2.1 255.255.255.0no shutdownint s 2/0ip address 172.16.3.1 255.255.255.0no shutdownclock rate 64000Router1enconf thost R1int s 2/0ip address 172.16.3.2 255.255.255.0no shutdownint fa 0/0ip address 172.16.4.1 255.255.255.0no shutdownRouter0exitip route 172.16.4.0 255.255.255.0 172.16.3.2Router1exitip route 0.0.0.0 0.0.0.0 172.16.3.1endshow ip routePC0ping 172.16.4.2 (success)PC1ping 172.16.4.2 (success)Router0ip access-list standard 5ijsjpermit 172.16.1.0 0.0.0.255deny 172.16.2.0 0.0.0.255 (如果有上面的permit默认跟一个deny，所以此命令可不写) conf tint s 2/0ip access-group 5ijsj outendPC0ping 172.16.4.2 (success)PC1ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)。

访问控制列表（ACL）实验报告1. 实验简介本实验旨在介绍访问控制列表（Access Control List，ACL）的基本概念和使用方法。

ACL是一种用于限制对网络资源访问的方式，通过配置规则表来控制网络流量的传输。

本实验将分为以下几个步骤进行。

2. 实验环境在进行实验前，我们需要准备以下环境：•一台已安装操作系统的计算机•网络设备（如路由器、交换机等）•网络拓扑图（可参考附录）3. 实验步骤步骤一：了解ACL的基本概念在开始配置ACL之前，我们需要了解ACL的基本概念。

ACL由一条或多条规则组成，每条规则定义了一种访问控制策略。

ACL可以基于源IP地址、目标IP地址、协议类型、端口号等信息进行过滤。

步骤二：创建ACL对象我们首先需要在网络设备上创建ACL对象。

打开命令行界面，输入以下命令来创建一个名为“ACL1”的ACL对象：config terminalip access-list extended ACL1步骤三：配置ACL规则接下来，我们可以通过添加ACL规则来实现访问控制。

假设我们要限制某个IP地址的访问权限，可以输入以下命令来添加ACL规则：permit ip 192.168.0.1 any上述命令表示允许IP地址为192.168.0.1的主机访问任何目标IP地址。

同样地，我们可以添加更多的规则来满足需求。

步骤四：将ACL应用到接口在配置完ACL规则后，我们需要将ACL应用到网络设备的接口上，以实现访问控制。

假设我们要将ACL1应用到接口GigabitEthernet0/1上，可以输入以下命令：interface GigabitEthernet0/1ip access-group ACL1 in上述命令中的“in”表示将ACL应用到入向流量上。

如果需要将ACL应用到出向流量上，可以使用“out”参数。

步骤五：验证ACL配置最后，我们需要验证ACL的配置是否生效。

可以通过发送测试流量来检查ACL 是否按照预期工作。

锐捷访问控制列表配置（ACL）4.1 标准ACL 配置提问：如何只允许端口下的用户只能访问特定的服务器网段？回答：步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list standard 1 ----定义标准ACLS5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255----允许访问服务器资源S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源锐捷RGNOS CookBook13S5750(config-std-nacl)#exit ----退出标准ACL 配置模式步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向注释：1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2（2）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

———————————————————————————————————————4.2 扩展ACL 配置提问：如何禁止用户访问单个网页服务器？回答：步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----创建扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www ----禁止访问web 服务器S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出ACL配置模式步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下———————————————————————————————————————4.3 VLAN 之间的ACL 配置提问：如何禁止VLAN 间互相访问？回答：步骤一：创建vlan10、vlan20、vlan30锐捷RGNOS CookBook14S5750#conf ----进入全局配置模式S5750(config)#vlan 10 ----创建VLAN10S5750(config-vlan)#exit ----退出VLAN 配置模式S5750(config)#vlan 20 ----创建VLAN20S5750(config-vlan)#exit ----退出VLAN 配置模式S5750(config)#vlan 30 ----创建VLAN30S5750(config-vlan)#exit ----退出VLAN 配置模式步骤二：将端口加入各自vlanS5750(config)# interface range gigabitEthernet 0/1-5----进入gigabitEthernet 0/1-5 号端口S5750(config-if-range)#switchport access vlan 10----将端口加划分进vlan10S5750(config-if-range)#exit ----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/6-10----进入gigabitEthernet 0/6-10 号端口S5750(config-if-range)#switchport access vlan 20----将端口加划分进vlan20S5750(config-if-range)#exit ----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/11-15----进入gigabitEthernet 0/11-15 号端口S5750(config-if-range)#switchport access vlan 30----将端口加划分进vlan30S5750(config-if-range)#exit ----退出端口配置模式步骤三：配置vlan10、vlan20、vlan30 的网关IP 地址S5750(config)#interface vlan 10 ----创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.10.1 255.255.255.0 ----配置VLAN10 的网关S5750(config-if)#exit ----退出端口配置模式S5750(config)#interface vlan 20 ----创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.20.1 255.255.255.0 锐捷RGNOS CookBook15----配置VLAN10 的网关S5750(config-if)#exit ----退出端口配置模式S5750(config)#interface vlan 30 ----创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.30.1 255.255.255.0----配置VLAN10 的网关S5750(config-if)#exit ----退出端口配置模式步骤四：创建ACL，使vlan20 能访问vlan10，而vlan30 不能访问vlan10S5750(config)#ip access-list extended deny30 ----定义扩展ACLS5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255----拒绝vlan30 的用户访问vlan10 资源S5750(config-ext-nacl)#permit ip any any----允许vlan30 的用户访问其他任何资源S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式步骤五：将ACL 应用到vlan30 的SVI 口in 方向S5750(config)#interface vlan 30 ----创建vlan30 的SVI 接口S5750(config-if)#ip access-group deny30 in----将扩展ACL 应用到vlan30 的SVI 接口下———————————————————————————————————————4.4 单向ACL 的配置提问：如何实现主机A 可以访问主机B 的FTP 资源，但主机B 无法访问主机A 的FTP 资源？？回答：步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----定义扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn----禁止主动向A 主机发起TCP 连接S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式锐捷RGNOS CookBook16步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入连接B 主机的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下S5750(config-if)#end ----退回特权模式S5750#wr ----保存注释：单向ACL 只能对应于TCP 协议，使用PING 无法对该功能进行检测。

标准访问控制列表实验报告
课程名称交换机配置实验项目名称实验项目18:标准访问控制列表
开课系（部）及实验室巡天楼311 实验日期2019年 10月 24日学生姓名董小明学号Ming 专业班级计算机网络技术1班指导教师- 实验成绩
一、实验目的
1、掌握路由器的标准访问控制列表的基本原理。

2、熟练掌握标准访问控制列表的配置方法与技巧。

二、实验拓扑图
三、实验步骤
1、Ming1的配置过程
Switch>en
Switch#conf t
Switch(config)#hostname Ming1
Ming1(config)#vlan 10
Ming1(config-vlan)#vlan 20
Ming1(config)#int f0/24
Ming1(config-if)#switchport mode access
Ming1(config-if)#switchport access vlan 10
Ming1(config-if)#int range f0/22 - 23
Ming1(config-if-range)#switchport mode access
Ming1(config-if-range)#switchport access vlan 20。

实验十一访问控制列表实验1．基本访问列表[RouterC]firewall enable[RouterC]firewall default permit[RouterC]acl 10[RouterC-acl-10]rule normal deny source 10.65.1.1[RouterC-acl-10]rule normal permit source any[RouterC]int s0[RouterC-Serial0]firewall packet-filter 10 inbound[RouterC-Serial0]quit[RouterC]display acl[root@PCA root]#ping 10.69.1.1 不通[root@PCB root]#ping 10.69.1.1 通[RouterC]undo acl 10[RouterC]display acl[root@PCA root]#ping 10.69.1.1 通[root@PCB root]#ping 10.69.1.1 通[RouterC]acl 11[RouterC-acl-11]rule normal deny source 10.65.1.1 0.0.0.255 [RouterC-acl-11]rule normal permit source any[RouterC]int s0[RouterC-Serial0]firewall packet-filter 11 inbound[RouterC]display acl[root@PCA root]#ping 10.69.1.1 不通[root@PCB root]#ping 10.69.1.1 不通[RouterC]undo acl 112．扩展访问控制列表[RouterC]firewall enable[RouterC]firewall default permit[RouterC]acl 101[RouterC-acl-101]rule deny tcp source 10.65.1.1 0 destination 10.69.1.1 0[RouterC-acl-101]rule permit ip source any destination any [RouterC]int s1[RouterC-Serial1]firewall packet-filter 101 outbound[RouterC-Serial1]quit[RouterC]dis acl[root@PCA root]#ping 10.69.1.1 不通[root@PCA root]#ping 10.70.1.1 通[root@PCB root]#ping 10.69.1.1 通[RouterC]undo acl[root@PCA root]#ping 10.69.1.1 通。

访问控制列表实验报告《访问控制列表实验报告》摘要：本实验旨在通过实际操作，了解和掌握访问控制列表（ACL）的基本概念和应用。

通过对ACL的配置和管理，实现对网络资源的访问控制和权限管理。

本文将详细介绍实验的目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行总结和分析。

1. 实验目的访问控制列表（ACL）是一种用于控制网络资源访问权限的重要机制，通过ACL可以对网络流量进行过滤和控制，保护网络安全。

本实验旨在通过实际操作，掌握ACL的基本概念和配置方法，实现对网络资源的访问控制和权限管理。

2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网，通过路由器进行网络流量的控制和管理。

实验中使用了Cisco路由器，并配置了基本的网络环境和访问控制列表。

3. 实验步骤（1）配置路由器基本网络环境，包括IP地址、子网掩码等；（2）创建访问控制列表，并定义访问控制规则；（3）将访问控制列表应用到路由器的接口上，实现对网络流量的控制和管理；（4）测试ACL的效果，验证ACL对网络流量的过滤和控制。

4. 实验结果通过实验操作，成功创建了访问控制列表，并将其应用到路由器的接口上。

在测试过程中，发现ACL可以有效地对网络流量进行过滤和控制，实现了对特定IP地址或端口的访问限制。

5. 问题与解决在实验过程中，遇到了一些配置和测试中的问题，如ACL规则的定义和应用不当导致网络流量无法正常通过等。

通过查阅资料和与实验指导老师讨论，最终找到了解决方案，并成功完成了实验目标。

6. 总结与展望本次实验通过实际操作，加深了对访问控制列表的理解和应用，掌握了ACL的配置和管理技术。

ACL作为网络安全的重要手段，对于保护网络资源和数据具有重要意义。

未来，可以进一步学习和探索ACL在实际网络环境中的应用，提高网络安全性和管理效率。

通过本次实验，对访问控制列表有了更深入的了解，掌握了其基本配置和应用方法，为今后的网络管理和安全工作奠定了基础。

【实验拓扑】实验时，按照拓扑进行网络的连接，注意主机和路由器连接所用的端口。

【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置路由器模块右键点击路由器RouteA图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

《计算机网络工程》实验指导五：IP访问控制列表配置实验右键点击路由器RouteB图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。

第3页/ 共13页（4）按照网络拓扑图连接设备。

步骤2.在CNS3中点击显示各端口信息，分别对其标注配置信息。

源设备源接口介质类型目标接口目标设备Route A(Route A )S0/0 Serial (Route B )S0/0 Route BRoute A f1/0 Fastethernet NIO-UDP PC1Route A f2/0 Fastethernet NIO-UDP PC3Route B f1/0 Fastethernet NIO-UDP PC2 步骤3、路由器Route A上的基本配置RouteA>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA //路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdown《计算机网络工程》实验指导五：IP访问控制列表配置实验RouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0RouteA (config-if)#clock rate 64000 //配置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 //配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。

访问控制列表(acl)实验报告访问控制列表（Access Control Lists，简称ACL）是一种用于控制网络资源访问权限的技术。

通过ACL，网络管理员可以根据需要限制或允许特定用户或用户组对网络资源的访问。

本文将介绍ACL的基本概念、实验过程以及实验结果。

一、ACL的基本概念ACL是一种应用于路由器或交换机等网络设备上的访问控制机制。

它通过在设备上设置规则，控制网络流量的进出。

ACL的规则由访问控制表（Access Control Table）组成，每个规则由一个或多个条件和一个动作组成。

条件可以是源IP地址、目的IP地址、协议类型、端口号等，动作可以是允许通过、阻止或丢弃数据包。

二、实验过程1. 实验环境准备为了进行ACL实验，我们需要准备一台路由器或交换机，并连接一些主机和服务器。

在实验开始之前，需要确保所有设备的网络连接正常，并且已经了解每个设备的IP地址和子网掩码。

2. 创建ACL规则在路由器或交换机上，我们可以通过命令行界面（CLI）或图形用户界面（GUI）来创建ACL规则。

这里以CLI为例，假设我们要限制某个子网内的主机访问外部网络。

首先，我们需要创建一个ACL，并定义允许或阻止的动作。

例如，我们可以创建一个允许外部网络访问的ACL规则，命名为“ACL-OUT”。

然后，我们可以添加条件，比如源IP地址为内部子网的地址范围，目的IP地址为任意外部地址，协议类型为TCP或UDP，端口号为80（HTTP）或443（HTTPS）。

3. 应用ACL规则创建ACL规则后，我们需要将其应用到适当的接口或端口上。

这样，所有经过该接口或端口的数据包都会受到ACL规则的限制。

在路由器或交换机上，我们可以使用“应用ACL”命令将ACL规则应用到指定的接口或端口上。

例如，我们可以将“ACL-OUT”规则应用到连接外部网络的接口上，从而限制内部子网的主机访问外部网络。

4. 测试ACL规则在应用ACL规则后，我们可以进行一些测试来验证ACL的有效性。

标准访问控制列表配置实训一、实验目的本实训旨在让学生掌握标准访问控制列表的配置方法，理解其工作原理，并能够根据实际需求进行正确的配置。

二、实验设备1. 路由器或交换机2. 计算机或笔记本3. 网络线4. 模拟软件（如GNS3）三、实验步骤与配置示例步骤1：设备连接与基本配置1. 在模拟软件GNS3中，拖拽一个路由器图标并连接到两台计算机，分别命名为Router1和Router2。

2. 启动Router1和Router2，并进入命令行界面。

3. 对两台设备进行基本配置，包括设置主机名、IP地址等。

示例：Router1：Router>enableRouter#configure terminalRouter(config)#hostname Router1Router1(config)#ip dhcp pool pool1Router1(config)#ip dhcp pool pool2Router1(config)#interface GigabitEthernet0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface GigabitEthernet0/1Router1(config-if)#ip address 192.168.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254步骤2：配置标准访问控制列表（ACL）1. 在Router1上创建一个标准访问控制列表（ACL），允许源IP为192.168.1.0/24的数据包访问目标IP为192.168.2.0/24的数据包。

网络组网技术实验报告班级姓名学号实验日期评分_____________1.实验名称利用IP标准访问列表进行网络流量的控制2.实验学时2学时3.实验类型综合型4.实验目的掌握路由器上编号的标准IP访问列表规则及配置。

5.实验内容配置标准ACL，实现网段间互相访问的安全控制。

6.实验拓扑7.实验步骤步骤一：Ruuter1路由器设备的基本配置Router1(config)#int fa0/0Router1 (config-if)#ip addr 172.16.1.1 255.255.255.0 Router1 (config-if)#exitRouter1 (config)#int fa0/1Router1 (config-if)#ip addr 172.16.2.1 255.255.255.0 Router1 (config-if)#no shutRouter1 (config)#exitRouter1#show controllers serial 0/1/0Router1 (config)#int s0/1/0Router1 (config-if)#ip addr 172.16.3.1 255.255.255.0 Router1 (config-if)#clock rate 64000Router1 (config-if)#no shut步骤二：Ruuter1路由器设备的验证测试Router1#sh ip int brief步骤三：Ruuter2路由器设备的基本配置Ruuter2 (config)#int fa0/1Ruuter2 (config-if)#ip addr 172.16.4.1 255.255.255.0 Ruuter2 (config-if)#no shutRuuter2 (config)#exitRuuter2#show controllers serial 0/1/1Ruuter2 (config)#int s0/1/1Ruuter2 (config-if)#ip addr 172.16.3.2 255.255.255.0Ruuter2 (config-if)#clock rate 6400Ruuter2 (config-if)#no shut步骤四：Ruuter2路由器设备的验证测试Ruuter2#show ip int brief步骤五：路由器设备的静态路由配置过程如下：Router1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2Router2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1Router2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1步骤六：路由设备静态路由测试Route1r#show ip routeRouter2#show ip route验证设备的连通性：PC1 ping PC3、PC2 ping PC3、PC1 ping PC2,观察配置静态路由后设备之间的连通性：PC1 ping PC3PC2 ping PC3:PC1 ping PC2：步骤七：在路由设备上配置标准IP访问控制列表Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 Router2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 步骤八：Router2的验证测试Router#show access-list 1步骤九：在路由设备配置端口上应用访问控制列表Router2(config)#int fa0/0Router2(config-if)#ip access-group 1 out步骤十：验证测试Router#show ip int fa0/0步骤十一：测试网段连通性172.16.2.0网段不能ping通172.16.4.0网段主机；172.16.1.0网段不能ping通172.16.4.0网段主机。

IP访问控制列表配置一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface fastethernet 0/1 注释：fa 1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第3步：应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0 注释：fa 0第4步：验证测试在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

ip访问控制列表配置实验报告实验报告课程名称网络设备与配置实验项目 ip访问控制列表的配置专业班级指导教师姓名学号成绩日期一、实验目的掌握路由器上编号的标准IP访问列表规则及配置。

二、实验内容1、连线；2、路由器基本配置；3、路由配置；4、IP标准ACL配置；5、测试。

三、实验背景某公司组建自己的企业网，在企业网内有公司的财务处、经理部和销售部分属不同的3个网段，三个部门之间用路由器进行信息传递。

为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部进行访问。

172.16.1.0网段代表经理部主机，172.16.2.0网段代表销售部主机，172.16.4.0网段代表财务部主机。

四、技术原理IP ACL（IP访问控制列表）是实现流经路由器或交换机的数据包根据一定规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL的配置方式有两种：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

五、实现功能实现网段间互相访问的安全控制。

六、实验设备2台路由器、1台三层交换机、3台PC机，3条直连线、1条串口线；或者增加3台交换机和3条直连线。

七、实验拓扑八、实验步骤1、Rrouter0的基本配置Router# conf tRouter(config)#hostname R1 R1(config)# int f 0/1R1(config-if)# ip addr 172.16.1.1 255.255.255.0R1(config-if)# no shutdown R1(config-if)# int f 0/0 R1(config-if)# ip addr 172.16.2.1 255.255.255.0R1(config-if)# no shutdown R1(config-if)# int s 0/1/0 R1(config-if)# ip addr 172.16.3.1 255.255.255.0R1(config-if)#clock rate 64000 R1(config-if)# no shutdown 测试：R1#show ip int brief ！观察接口状态2、Rrouter1的基本配置Router(config)#hostname R2R2(config-if)# int f 0/0R2(config-if)# ip addr 172.16.4.1 255.255.255.0R2(config-if)# no shutdown R2(config-if)# int s 0/1/0 R2(config-if)# ip addr 172.16.3.2 255.255.255.0R2(config-if)# no shutdown 测试：R2#show ip int brief ！观察接口状态3、配置路由配置静态路由或动态路由都可以，这里以静态路由为例。