访问控制列表实验报告

  • 格式:doc
  • 大小:116.00 KB
  • 文档页数:7

实训报告
实验名称访问控制列表
课程名称计算机网络
1.实验目的
掌握访问控制列表的概念。

能对路由器进行访问控制列表的设置。

2.实验环境
(1)微机4台,2811的路由器2台,2950的交换机4台,双绞线4条,串行线一条。

(2)在计算机上安装有windows xp 的操作系统,并且安装有Cisco Packet Tracer 软件。

3.实训规划和拓扑图规划:
4、实验要求:
要求:a、Lan 1 不能访问lan 2 .
b、Lan 1 能访问lan 3 不能访问lan 4.
c、Lan 2能访问lan 4 不能访问lan 3.
5、实验步骤:
(1)按照规划,构建拓扑图。

(标注好各个接口,和ip地址)(2)按照规划配置好路由器的各个接口的ip地址,并且配置好路由协议,这里用的rip 2.通过show ip route是否学到全网的路由。

R1结果如下:
R2结果如下:
(3)配置访问控制列表:
针对要求:Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)
在R1:access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R1的接口f0/1: ip access-group 1 out
针对要求:Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照)
在R2 :access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R2.f0/1 ip access-group out
针对要求:Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照)
在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255
aceess-list 2 permit any
R2.f0/0:ip access-group 2 out
6、实验结果:
(1)针对要求:Lan 1 不能访问lan 2. 测试有以下结果:
pc1 ping pc2不通,符合要求1,如下图所示。

Pc2 ping pc1如下图:
Pc1上路由跟踪pc2:
(2)针对要求:Lan 1 能访问lan 3 不能访问lan 4
Pc1 ping pc3:结果如下
Pc1 ping pc4结果如下:
Pc1 路由跟踪pc4:tracert 50.0.0.2 (3)针对要求:Lan 2能访问lan 4 不能访问lan 3 Pc2 ping pc4:
Pc2 ping pc3:
Pc2 路由跟踪pc3:
4.实验分析
(1)要求Lan 1 不能互相访问lan 2 (以接口R1的接口f0/1为参照) 以R1的接口f0/1为参照,(一般在实际情况,在自己的路由器上防止别个进入,进行设置,跑到别个的路由器上设置不现实)不允许源地址为lan1的网络(20.0.0.0/24)从接口f0/1 出。

允许原地址为的其它任何网络(包括如30.0.0.0/24)通过出。

所以在R1上有以下语句:
access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R1的接口f0/1: ip access-group 1 out
从ping和路由跟踪的结果来看,数据分组只到达20.0.0.1就停止了。

符合要求。

(2)针对要求:Lan 1 能访问lan 3 不能访问lan 4
以R2的接口f0/1为参照,
拒绝源地址网络为lan 1(20.0.0.0/24) 数据分组通过路由器R2的接口f0/1出。

允许原地址为其它网络的数据分组从路由器R2的接口f0/1出。

语句如下:
R2 :access-list 1 deny 20.0.0.0 0.0.0.255
access-list 1 permit any
R2.f0/1 ip access-group out
从pc1 ping pc4和路由跟踪的结果来看,数据分组经过20.0.0.1,到达
60.0.0.2就停止了,没有到达50.0.0.1。

符合要求。

(3)针对要求:Lan 2能访问lan 4 不能访问lan 3
以R2的接口f0/0为参照,
拒绝原地址网络为lan 2(30.0.0.0/24)的数据分组从R2的接口f0/0出。

允许源地址为其它网络地址的数据分组从R2的f0/0接口出。

所以有以下程序:
在R2 aceess-list 2 deny 30.0.0.0 0.0.0.255
aceess-list 2 permit any
R2. f0/0: ip access-group 2 out
从pc2 ping pc3 和路由跟踪来看:pc2的数据分组经过了
30.0.0.1,到达了60.0.0.2,但就是到达不了40.0.0.1,所以符合
要求。

5.实验结论:
(1)通过这次实验,明白了访问控制列表的作用和配置格式,以及其含义:
config)#access-list [#] [permit | deny] [source-address | keyword any] [source mask]
语法:
access-list:命令语句
[#]:程序名
<1-99>标准访问控制列表;控制源地址;
<100-199>扩展访问控制列表;
[permit | deny] :允许 | 禁止
[source-address | keyword any] :源地址,可以是网络号,也可是主机。

[source mask]:网络通配符
执行的语法:
ip access-group [access-list-number] [in | out]
ip access-group:命令语句
[access-list-number] :程序名
[in | out]:从外进入路由 | 从路由内向外
(2)搞清楚了要站在那个接口上,针对源地址为谁的网络,允许/禁止其进还是出。

总结:
对于路由器来说,它的控制策略有
进口:
出口:
情况一
如果允许接口1进入的数据向接口2进行转发,路由中的ACL策略:
对于接口 1 而言,允许进入;
对于接口 3 而言,禁止出。

情况二
从接口 1 中进入的数据不允许从接口2或接口3出。

策略:
禁止接口 1 中有目的地址数据进入。

如果源地址是 1 的,禁止进入路由器。

难点二:
设置访问控制列表时,控制源地址还是控制目的地址?
一般,控制源地址。

安全策略:
1、除了允许的,其它禁止的;(在操作系统中的)
2、除了禁止的,其它允许的。

在防火墙中,两个都可用,但一般不能同时使用。

(3)高清楚了以前范的最容易出错和混淆的地方,源和目的,进口还是出口,控制列表用在运用在哪里好。

首先要确定你在哪个接口上,然后确定要允许还是拒绝源地址为哪个网络的数据分组通过。

最后将控制列表运用在哪个接口上。

此外控制列表可以有几个名字,分别运用在不同的接口上。