当前位置:文档之家 › 访问控制列表实验报告

访问控制列表实验报告

  • 格式:doc
  • 大小:116.00 KB
  • 文档页数:7

下载文档原格式

  / 7
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实训报告

实验名称访问控制列表

课程名称计算机网络

1.实验目的

掌握访问控制列表的概念。

能对路由器进行访问控制列表的设置。

2.实验环境

(1)微机4台,2811的路由器2台,2950的交换机4台,双绞线4条,串行线一条。

(2)在计算机上安装有windows xp 的操作系统,并且安装有Cisco Packet Tracer 软件。

3.实训规划和拓扑图规划:

4、实验要求:

要求:a、Lan 1 不能访问lan 2 .

b、Lan 1 能访问lan 3 不能访问lan 4.

c、Lan 2能访问lan 4 不能访问lan 3.

5、实验步骤:

(1)按照规划,构建拓扑图。(标注好各个接口,和ip地址)(2)按照规划配置好路由器的各个接口的ip地址,并且配置好路由协议,这里用的rip 2.通过show ip route是否学到全网的路由。R1结果如下:

R2结果如下:

(3)配置访问控制列表:

针对要求:Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)

在R1:access-list 1 deny 20.0.0.0 0.0.0.255

access-list 1 permit any

R1的接口f0/1: ip access-group 1 out

针对要求:Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照)

在R2 :access-list 1 deny 20.0.0.0 0.0.0.255

access-list 1 permit any

R2.f0/1 ip access-group out

针对要求:Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照)

在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255

aceess-list 2 permit any

R2.f0/0:ip access-group 2 out

6、实验结果:

(1)针对要求:Lan 1 不能访问lan 2. 测试有以下结果:

pc1 ping pc2不通,符合要求1,如下图所示。

Pc2 ping pc1如下图:

Pc1上路由跟踪pc2:

(2)针对要求:Lan 1 能访问lan 3 不能访问lan 4

Pc1 ping pc3:结果如下

Pc1 ping pc4结果如下:

Pc1 路由跟踪pc4:tracert 50.0.0.2 (3)针对要求:Lan 2能访问lan 4 不能访问lan 3 Pc2 ping pc4:

Pc2 ping pc3:

Pc2 路由跟踪pc3:

4.实验分析

(1)要求Lan 1 不能互相访问lan 2 (以接口R1的接口f0/1为参照) 以R1的接口f0/1为参照,(一般在实际情况,在自己的路由器上防止别个进入,进行设置,跑到别个的路由器上设置不现实)不允许源地址为lan1的网络(20.0.0.0/24)从接口f0/1 出。

允许原地址为的其它任何网络(包括如30.0.0.0/24)通过出。

所以在R1上有以下语句:

access-list 1 deny 20.0.0.0 0.0.0.255

access-list 1 permit any

R1的接口f0/1: ip access-group 1 out

从ping和路由跟踪的结果来看,数据分组只到达20.0.0.1就停止了。符合要求。

(2)针对要求:Lan 1 能访问lan 3 不能访问lan 4

以R2的接口f0/1为参照,

拒绝源地址网络为lan 1(20.0.0.0/24) 数据分组通过路由器R2的接口f0/1出。

允许原地址为其它网络的数据分组从路由器R2的接口f0/1出。

语句如下:

R2 :access-list 1 deny 20.0.0.0 0.0.0.255

access-list 1 permit any

R2.f0/1 ip access-group out

从pc1 ping pc4和路由跟踪的结果来看,数据分组经过20.0.0.1,到达

60.0.0.2就停止了,没有到达50.0.0.1。符合要求。

(3)针对要求:Lan 2能访问lan 4 不能访问lan 3

以R2的接口f0/0为参照,

拒绝原地址网络为lan 2(30.0.0.0/24)的数据分组从R2的接口f0/0出。

允许源地址为其它网络地址的数据分组从R2的f0/0接口出。

所以有以下程序:

在R2 aceess-list 2 deny 30.0.0.0 0.0.0.255

aceess-list 2 permit any

R2. f0/0: ip access-group 2 out

从pc2 ping pc3 和路由跟踪来看:pc2的数据分组经过了

30.0.0.1,到达了60.0.0.2,但就是到达不了40.0.0.1,所以符合

要求。

5.实验结论:

(1)通过这次实验,明白了访问控制列表的作用和配置格式,以及其含义:

config)#access-list [#] [permit | deny] [source-address | keyword any] [source mask]

语法:

access-list:命令语句

[#]:程序名

<1-99>标准访问控制列表;控制源地址;

<100-199>扩展访问控制列表;

[permit | deny] :允许 | 禁止

[source-address | keyword any] :源地址,可以是网络号,也可是主机。

[source mask]:网络通配符

执行的语法:

ip access-group [access-list-number] [in | out]

ip access-group:命令语句

[access-list-number] :程序名

[in | out]:从外进入路由 | 从路由内向外

(2)搞清楚了要站在那个接口上,针对源地址为谁的网络,允许/禁止其进还是出。

总结:

相关主题