Cisco Packet Tracer实验4：CISCO ACL 简单配置

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

路由器配置实验：配置实现ACL一、实验目的1．熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。

2．掌握使用show access-list，show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。

3．能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的网络拓扑图，并能实现拓扑的物理连接4．熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法二、实验环境PC机一台，并安装PACKET TRACER 5.0或以上版本三、实验步骤1.每人一机，安装并配置Cisco Packet Tracer V5.00模拟配置工具2.在Cisco Packet Tracer V5.00模拟配置路由器中通过添加和连接设备构建出本实验的实际相应的拓扑实验拓扑：3、逐个单击网络拓扑图中的每台设备，进入设备的命令交互操作，进行工作模式的切换和选择4、利用命令检查设备的相关配置及信息5、联系使用路由器/交换机IOS提供的CLI帮助系统和常用编辑功能键6、在 Cisco Packet Tracer V5.0模拟配置工具中，依据绘制的出的本实验的网络拓扑图，进行相应的设备基本呢配置及配置检查测试四、实验过程Step1：利用Cisco Packet Tracer V5.0模拟配置工具绘制本实验的拓补图Step2: 配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200)Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1)Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)Step15:配置R1的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 1.1.1.3、子网掩码: 255.255.255.0、激活端口: no shutdown）Step16:配置R1的Fastethernet0/1端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 2.2.2.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step17:配置R1的Serial0/0端口；（IP地址、子网掩码、封装WAN协议帧格式、激活端口）（IP地址：3.3.3.1、子网掩码：255.255.255.252、封装W AN协议帧格式：encap PPP、激活端口：no shut）Step18:配置R2的Serial0/0端口；（时钟频率、IP地址、子网掩码、封装WAN协议帧格式、激活端口）（时钟频率：clock rate 64000、IP地址：3.3.3.2、子网掩码：255.255.255.252、封装W AN 协议帧格式：encap PPP、激活端口：no shut）Step19:配置R2的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 4.4.4.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step20:测试当前各PC设备至各节点的连通性并记录下来。

Cisco配置ACL-电脑资料第一阶段实验：配置实验环境，网络能正常通信R1的配置：R1>enR1#conf tR1（config）#int f0/0R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shutR1（config-if）#int loopback 0R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exitR1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2 R1（config）#username benet password testR1（config）#line vty 0 4R1（config-line）#login localSW1的配置：SW1>enSW1#vlan dataSW1（vlan）#vlan 2SW1（vlan）#vlan 3SW1（vlan）#vlan 4SW1（vlan）#vlan 100SW1（vlan）#exitSW1#conf tSW1（config）#int f0/1SW1（config-if）#no switchportSW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shutSW1（config-if-range）#exitSW1（config）#int vlan 2SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 3SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 4SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 100SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip routingSW1（config）#int vlan 1SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#username benet password testSW1（config）#line vty 0 4SW2的配置：SW2>enSW2#vlan dataSW2（vlan）#vlan 2SW2（vlan）#vlan 3SW2（vlan）#vlan 4SW2（vlan）#exitSW2#conf tSW2（config）#int f0/15SW2（config-if）#switchport mode trunkSW2（config-if）#no shutSW2（config-if）#exitSW2（config）#int f0/1SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 2SW2（config-if）#no shutSW2（config-if）#int f0/2SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 3SW2（config-if）#no shutSW2（config-if）#int f0/3SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 4SW2（config-if）#no shutSW2（config-if）#int vlan 1SW2（config-if）#ip addr 192.168.0.2 255.255.255.0 SW2（config-if）#no shutSW2（config-if）#exitSW2（config）#ip default-gateway 192.168.0.1SW2（config）#username benet password test SW2（config）#line vty 0 4SW2（config-line）#login localSW3的配置：SW3>enSW3#vlan dataSW3（vlan）#vlan 100SW3（vlan）#exitSW3#conf tSW3（config）#int f0/15SW3（config-if）#switchport mode trunkSW3（config-if）#no shutSW3（config-if）#int f0/1SW3（config-if）#switchport mode accessSW3（config-if）#switchport access vlan 100SW3（config-if）#no shutSW3（config-if）#int vlan 1SW3（config-if）#ip addr 192.168.0.3 255.255.255.0 SW3（config-if）#no shutSW3（config-if）#exitSW3（config）#ip default-gateway 192.168.0.1 SW3（config）#no ip routingSW3（config）#username benet password test SW3（config）#line vty 0 4SW3（config-line）#login local网络管理区主机PC1（这里用路由器模拟）R5>enR5#conf tR5（config）#int f0/0R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shutR5（config-if）#exitR5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1财务部主机PC2配置IP:IP地址：192.168.3.2 网关：192.168.3.1信息安全员主机PC3配置IP:IP地址：192.168.4.2 网关：192.168.4.1服务器主机配置IP:IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：所有部门之间的主机均能互相通信并能访问服务器和外网（测试方法：用PING命令）在所有主机上均能远程管理路由器和所有交换机，，电脑资料《Cisco 配置ACL》(https://www.)。

访问控制列表（ACL）配置实验报告实验四访问控制列表（ACL）配置1、实验目的：（1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。

（2）思科交换机的基本ACL配置2、实验环境：利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。

通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。

3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。

（2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数）。

（3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。

将该列表应用于路由器的相应端口。

然后，进行相应的Ping测试。

（4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。

将该列表应用于路由器的相应端口，最后进行相应的Ping测试。

2.3 实验步骤（1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。

（2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为：255.255.255.0，网关为：192.168.1.1，如下图2-2所示：其他PC机的配置方法类似，配置如下：PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1（3）进入第一台思科1912交换机的CLI界面，做如下配置：>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面，将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2，子网掩码配置为255.255.255.0，默认网关与其他PC 机一样，为192.168.1.1 ，最后退出全局配置界面。

思科路由器用自反访问控制列表（ACL）实现网段之间单向访问配置（设置）方法问题的提出：有二个网段，网络号分别为192.168.1.0与192.168.0.0，分别有主机192.168.1.2与192.168.0.2，开启了WWW服务和远程桌面。

要求只允许网络192.168.1.0访问192.168.0.0，而不允许反向访问，应该怎样用ACL解决？方案：首先会想到用ACL实现，或者用扩展ACL实现。

Router#conf tRouter(config)#acc 10 deny 192.168.0.0 0.0.0.255 //拒绝192.168.0.0网段Router(config)#acc 10 permit anyRouter(config)#int e0Router(config-if)#ip ace 10 in //ACL应用在流入方向Router(config)#endRouter#wri显示配置清单看上去拒绝了192.168.0.0网段发往192.168.1.0网段的数据流，但是，由192.168.1.0网段主动发起的发往192.168.0.0网段的回程数据也被挡住了。

两边无法通讯。

换扩展ACL试试Router#conf tRouter(config)#acc 110 deny tcp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 3389//拒绝192.168.0.0网段访问192.168.1.0网段远程桌面Router(config)#acc 110 permit ip any anyRouter(config)#int e0Router(config-if)#ip ace 110 inRouter(config)#endRouter#wri显示配置清单测试结果192.168.0.0网段不能访问192.168.1.0网段远程桌面，192.168.1.0网段可以访问192.168.0.0网段，与目标近了一步。

思科acl实验报告思科ACL实验报告引言网络安全是现代社会中一个非常重要的议题，任何一个组织或个人都应该重视网络安全的保护。

为了加强网络安全，思科提供了一种有效的工具，即访问控制列表（ACL），它可以帮助管理员限制网络流量并保护网络免受潜在的威胁。

本实验报告将介绍ACL的基本概念、配置和应用，并通过实际案例展示ACL的作用和效果。

ACL的基本概念ACL是一种用于过滤网络流量的安全功能，它可以根据预定义的规则来允许或拒绝特定类型的流量通过网络设备。

ACL通常应用于路由器、交换机等网络设备上，以控制进出设备的数据流。

ACL规则由许多因素组成，如源IP地址、目标IP地址、传输协议、端口号等，管理员可以根据实际需求定义这些规则。

ACL的配置和应用在思科设备上，配置ACL需要使用命令行界面（CLI）或图形用户界面（GUI）。

首先，我们需要确定ACL的类型，包括标准ACL和扩展ACL。

标准ACL基于源IP地址来过滤流量，而扩展ACL可以基于源IP地址、目标IP地址、传输协议、端口号等多个因素进行过滤。

接下来，我们需要定义ACL规则。

例如，我们可以创建一个标准ACL规则，允许来自特定IP地址的流量通过，并拒绝其他所有流量。

配置ACL规则时，我们还可以指定规则的优先级，以确保流量按照预期的方式进行过滤。

一旦ACL规则定义完毕，我们需要将ACL应用到特定的接口或设备上。

通过将ACL应用到接口，我们可以控制流入或流出该接口的数据流。

这样，我们就可以限制特定IP地址的访问，阻止潜在的网络攻击或滥用。

ACL的实际应用ACL可以应用于各种场景，下面我们将通过一个实际案例来展示ACL的作用和效果。

假设我们是一家中型企业的网络管理员，我们需要保护内部网络免受外部恶意攻击。

我们可以使用ACL来限制外部IP地址对内部网络的访问。

首先，我们创建一个扩展ACL规则，允许内部员工的IP地址访问内部网络，同时拒绝所有其他IP地址的访问。

基于Packet Tracer的计算机网络实验设计一、实验目的本实验通过使用Cisco Packet Tracer网络模拟软件，设计并实现不同类型的计算机网络实验，目的是帮助学习者加深对计算机网络原理和技术的理解，提高网络模拟和调试的能力，培养网络设计和故障排除的技能。

二、实验内容1. 实验一：局域网设计与配置通过使用Packet Tracer软件，设计并配置一个简单的局域网，包括交换机、路由器、PC等设备，学习基本的网络设备配置和交换机端口的配置方法，理解VLAN和子网的概念，了解数据包的转发和交换过程。

2. 实验二：跨网段通信与路由配置在实验一的基础上，将多个局域网连接起来，通过路由器实现跨网段通信。

学习路由器的配置和路由表的设置方法，掌握不同子网之间的通信原理，实现不同子网之间的数据传输。

3. 实验三：网络安全与ACL配置学习如何使用ACL（访问控制列表）来保护网络安全，了解ACL的基本概念和配置方法，通过实验模拟网络攻击和防御的过程，加深对网络安全的理解。

4. 实验四：静态路由配置学习如何配置和管理静态路由，了解静态路由的工作原理和配置方法，实现不同网络之间的路由通信，加深对路由表和路由选择算法的理解。

5. 实验五：动态路由协议配置学习不同的动态路由协议（如RIP、OSPF、EIGRP）的配置和工作原理，了解动态路由协议之间的区别和选择原则，实现动态路由的自我学习和自我调整。

6. 实验六：网络虚拟化与VLAN配置学习如何使用VLAN技术实现网络虚拟化，在一个物理网络中实现多个逻辑网络的隔离和划分，了解不同VLAN之间的通信和隔离原理，实现VLAN的配置和管理。

7. 实验七：无线网络配置学习如何配置和管理无线网络，包括无线AP（接入点）、无线客户端、无线安全和加密等技术，了解无线网络的工作原理和配置方法，实现无线网络的配置和调试。

8. 实验八：故障排除与网络监控通过模拟网络中常见的故障场景，学习如何进行故障排除和网络监控，掌握网络故障排查的方法和技巧，提高网络维护和调试的能力。

实验4 基于Cisco Packet Tracer的组网及路由器配置实验一．实验目的1.熟练使用packer tracer模拟工具2.掌握网络拓扑的搭建，熟悉网络设备及其电缆类型3.熟悉常用的路由器网络接口的配置命令4.掌握测试网络连通性的方法二．实验工具主机操作系统为windows 7及以上；使用Cisco Packer Rracer软件。

三．实验内容1.按要求搭建互联网网络拓扑2.配置路由器实现互联互通3.测试网络的连通性四．参考知识1.路由器配置（1）路由器名和密码配置输入enable命令，使路由器进入特权模式（只有进入特权模式，才有权对路由器进行各种操作。

）输入configt命令，进入配置模式输入hostname命令，为路由器命名输入enable *********，设置特权密码（2）接口地址分配与配置在特权模式下：输入congfig t 命令，进入配置模式输入interface ******命令，进入接口配置模式（interface可以简写为int）输入ip addr x.x.x.x x.x.x.x ，设置接口的IP地址和掩码输入no shutdown，启动或激活接口输入exit或者Ctrl+Z ，退出配置模式（3）路由器协议选择与配置设置路由协议输入config t 命令，进入配置模式输入router***命令，设置路由器上运行的路由选择协议，比如router rip输入多条network X.X.X.X 命令，指定路由器的直联网络输入exit或者Ctrl+Z，退出配置模式手工配置静态路由输入config t 命令，进入配置模式输入命令：IProute目的地址子网掩码下一跳地址添加一跳静态路由。

比如想要加入一条到达特定主机10.10.50.2的静态路由，可以输入命令：IProuter10.10.5.2255.255.255.255 10.10.3.2注：由于这是一条特定主机路由，对应的子网掩码为255.255.255.255（4）广域网协议选择与配置在配置模式下，输入interface ******命令，进入端口配置模式输入encapsulation *** 命令，设置封装协议，encapsulation可以简写为encap 。

ACL的配置实验报告实验目的和要求：目的：1：掌握路由器的ACL基本命令提高路由器的安全性。

2：了解ACL的其他功能，为以后技术的应用做好基础。

要求：1：会使用标准ACL，扩展ACL和命名ACL。

2：能够观察数据的被拦截的信息，分析ACL日志。

网络拓扑与分析设计：实验内容：1、标准ACL的配置。

2、扩展ACL的配置。

3、命名标准ACL和命名扩展ACL的配置。

注意：网络拓扑可以采用课后作业的网络拓扑图，可以做改动。

实验步骤与调试过程：1.打开Cisco Packet tracer，拖入三个PC，一个交换机，两个路由器，建立完整的网络拓扑；2.设置PC的IP，分别为（IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1），（IP Address 192.168.0.3 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1），（IP Address 192.168.1.4 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1）路由器0的端口FastEthernet0/0 192.168.1.2 打开ON，S0/1/0为12.0.0.1时钟频率设为9600.打开ON。

路由器4的S0/1/0为12.0.0.2.打开ON;3.在路由器0上配置标准ACL。

进入全局配置模式，输入access-list 1 permit host 192.168.1.3,允许192.168.1.3的主机访问；4.在路由器0的全局配置模式下输入access-list 1 dent any 禁止其他主机、5.在路由0器的全局配置模式下输入interface f0/1,进入接口配置模式6.在路由器0的接口配置模式下输入ip access-group 1 in 设置在接口f0/1的入站方向按1号访问控制列表对数据包惊醒过滤。