访问控制列表实验报告
- 格式:doc
- 大小:116.00 KB
- 文档页数:7
实训报告
实验名称访问控制列表
课程名称计算机网络
1.实验目的
掌握访问控制列表的概念。
能对路由器进行访问控制列表的设置。
2.实验环境
(1)微机4台,2811的路由器2台,2950的交换机4台,双绞线4条,串行线一条。
(2)在计算机上安装有windows xp 的操作系统,并且安装有Cisco Packet Tracer 软件。
3.实训规划和拓扑图规划:
4、实验要求:
要求:a、Lan 1 不能访问lan 2 .
b、Lan 1 能访问lan 3 不能访问lan 4.
c、Lan 2能访问lan 4 不能访问lan 3.
5、实验步骤:
(1)按照规划,构建拓扑图。(标注好各个接口,和ip地址)(2)按照规划配置好路由器的各个接口的ip地址,并且配置好路由协议,这里用的rip 2.通过show ip route是否学到全网的路由。R1结果如下:
R2结果如下:
(3)配置访问控制列表:
针对要求:Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)
在R1:access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R1的接口f0/1: ip access-group 1 out
针对要求:Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照)
在R2 :access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R2.f0/1 ip access-group out
针对要求:Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照)
在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255
aceess-list 2 permit any
R2.f0/0:ip access-group 2 out
6、实验结果:
(1)针对要求:Lan 1 不能访问lan 2. 测试有以下结果:
pc1 ping pc2不通,符合要求1,如下图所示。
Pc2 ping pc1如下图:
Pc1上路由跟踪pc2:
(2)针对要求:Lan 1 能访问lan 3 不能访问lan 4
Pc1 ping pc3:结果如下
Pc1 ping pc4结果如下:
Pc1 路由跟踪pc4:tracert 50.0.0.2 (3)针对要求:Lan 2能访问lan 4 不能访问lan 3 Pc2 ping pc4:
Pc2 ping pc3:
Pc2 路由跟踪pc3:
4.实验分析
(1)要求Lan 1 不能互相访问lan 2 (以接口R1的接口f0/1为参照) 以R1的接口f0/1为参照,(一般在实际情况,在自己的路由器上防止别个进入,进行设置,跑到别个的路由器上设置不现实)不允许源地址为lan1的网络(20.0.0.0/24)从接口f0/1 出。
允许原地址为的其它任何网络(包括如30.0.0.0/24)通过出。
所以在R1上有以下语句:
access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R1的接口f0/1: ip access-group 1 out
从ping和路由跟踪的结果来看,数据分组只到达20.0.0.1就停止了。符合要求。
(2)针对要求:Lan 1 能访问lan 3 不能访问lan 4
以R2的接口f0/1为参照,
拒绝源地址网络为lan 1(20.0.0.0/24) 数据分组通过路由器R2的接口f0/1出。
允许原地址为其它网络的数据分组从路由器R2的接口f0/1出。
语句如下:
R2 :access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R2.f0/1 ip access-group out
从pc1 ping pc4和路由跟踪的结果来看,数据分组经过20.0.0.1,到达
60.0.0.2就停止了,没有到达50.0.0.1。符合要求。
(3)针对要求:Lan 2能访问lan 4 不能访问lan 3
以R2的接口f0/0为参照,
拒绝原地址网络为lan 2(30.0.0.0/24)的数据分组从R2的接口f0/0出。
允许源地址为其它网络地址的数据分组从R2的f0/0接口出。
所以有以下程序:
在R2 aceess-list 2 deny 30.0.0.0 0.0.0.255
aceess-list 2 permit any
R2. f0/0: ip access-group 2 out
从pc2 ping pc3 和路由跟踪来看:pc2的数据分组经过了
30.0.0.1,到达了60.0.0.2,但就是到达不了40.0.0.1,所以符合
要求。
5.实验结论:
(1)通过这次实验,明白了访问控制列表的作用和配置格式,以及其含义:
config)#access-list [#] [permit | deny] [source-address | keyword any] [source mask]
语法:
access-list:命令语句
[#]:程序名
<1-99>标准访问控制列表;控制源地址;
<100-199>扩展访问控制列表;
[permit | deny] :允许 | 禁止
[source-address | keyword any] :源地址,可以是网络号,也可是主机。
[source mask]:网络通配符
执行的语法:
ip access-group [access-list-number] [in | out]
ip access-group:命令语句
[access-list-number] :程序名
[in | out]:从外进入路由 | 从路由内向外
(2)搞清楚了要站在那个接口上,针对源地址为谁的网络,允许/禁止其进还是出。
总结: