冯洋洋-第六章ACL访问控制列表实验
网络安全实验6:访问控制列表

访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签:控制列表配置职场休闲【网络环境】网络时代的高速发展,对网络的安全性也越来越高。
西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢?【网络目的】明白ACL访问控制列表的原理、以及正确的配置;按照网络拓扑图的要求来正确的连接设备。
创建访问控制列表来满足我们所定义的需求;【网络拓扑】【实验步骤】第一步:配置Router1的端口IP地址:(注意:在配置之前我们先要明白ACL访问控制列表的工作原理;ACL访问控制列表的原理是它是以包过滤技术,在路由器上读取OSI7层模型的第三层和第四层包头中的信息,根据自己预先定义好的规则,对包进行过滤,从而来达到访问控制的目的。
我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段?但是又怎么样才能让它们互相通信?根据拓扑图:我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类,AC L通过在接口路由器上接口出控制数据包是转发还是丢弃,来过滤通信流量。
路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是,从而来决定该数据包是转发还是丢弃!!!)第二步:配置Router2的端口IP地址:(注意:ACL访问控制列表分为最基本的两种,它们是标准访问控制列表和扩展访问控制列表:标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。
结果是基于源网络/子网/主机的IP地址,来决定该数据包是转发还是拒绝该数据包;它所使用1~99之间的数字作为表号。
扩展访问控制列表是对数据包的源地址和目的地址均进行检查,它也可以检查特定的协议、端口号以及其他的修改参数。
它所使用的是100~199之间的数字作为表号;我们在这里只对标准访问控制列表和扩展访问控制列表进行说明;还有一些例如:基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。
标准访问控制列表ACL实验

R2(config)#ip route 172.16.1.0 255.255.255.0 serial 0/0/0 //为路由器R2配置 172.16.1.0子网掩码255.255.255.0网
段通过serial 0/0/0访问的路由
R2(config)#ip route 172.16.2.0 255.255.255.0 serial 0/0/0 //为路由器R2配置 172.16.2.0子网掩码255.255.255.0网
段通过serial 0/0/0访问的路由
为PC配置IP地址和网关 ຫໍສະໝຸດ C1:IP地址:172.16.1.2
子网掩码:255.255.255.0 网关:172.16.1.1 PC2:IP地址:172.16.2.2 子网掩码:255.255.255.0 网关:172.16.2.1 PC3:IP地址:172.16.4.2 子网掩码:255.255.255.0 网关:172.16.4.1
若需要关闭访问控制列表,使用命令: R(config)#no access-list 或进入接口配置模式关闭加载到接口的配置
R(config-if)#no ip access-group 1 out
Router (config)# hostname R1 //将路由器主机命名为R1 R1(config)#
2.为路由器R1各接口分配IP地址
R1 (config)#interface fastEthernet 0/0 //进入fastEthernet 0/0接口配置模式
R1 (config-if)#ip address 172.16.1.1 255.255.255.0 //为fastEthernet 0/0接口配置IP地址172.16.1.1,对应
访问控制列表(ACL)配置实验报告

访问控制列表(ACL)配置实验报告实验四访问控制列表(ACL)配置1、实验目的:(1)掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。
(2)思科交换机的基本ACL配置2、实验环境:利用Boson Network Designer软件绘制两台交换机(Cisco Catalyst1912 型)、一台路由器(Cisco2621型)以及三台PC进行互连。
通过Boson Netsim软件加载绘制好的网络拓扑图,从而进行路由器、交换机以及PC的相关配置,网络拓扑图如图2-1所示。
3、实验内容:(1)使用Boson Network Designer软件绘制路由器互连的网络拓扑图。
(2)运行Boson Netsim软件,加载网络拓扑图后,分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置(交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数)。
(3)在路由器上定义一个扩展访问控制列表,抑制某台PC的ICMP数据流通往其它任意的一条网段。
将该列表应用于路由器的相应端口。
然后,进行相应的Ping测试。
(4)在路由器撤消之前配置的扩展访问控制列表,然后定义一个标准访问控制列表,抑制某条网段的PC机访问另一条网段的PC机。
将该列表应用于路由器的相应端口,最后进行相应的Ping测试。
2.3 实验步骤(1)运行Boson Network Designer软件,按照图2-1所示绘制配置拓扑图,保存在相应的目录下。
(2)运行Boson Netsim软件,加载绘制好的网络拓扑图,然后切换到PC机设置界面,使用winipcfg命令,配置PC1的IP地址为192.168.1.3 ,子网掩码为:255.255.255.0,网关为:192.168.1.1,如下图2-2所示:其他PC机的配置方法类似,配置如下:PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1(3)进入第一台思科1912交换机的CLI界面,做如下配置:>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面,将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2,子网掩码配置为255.255.255.0,默认网关与其他PC 机一样,为192.168.1.1 ,最后退出全局配置界面。
访问控制列表ACL配置-实验报告

课设5:访问控制列表ACL的配置
【实验目的】:
1.熟悉掌握网络的基本配置连接
2.对网络的访问性进行配置
【实验说明】:
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。
访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。
【实验设备】:
【实验过程记录】:
步骤1:搭建拓扑结构,进行配置
(1)搭建网络拓扑图:
(2
虚拟机名IP地址Gateway PC0
其配置对应数据见上表。
(3)设置路由信息并测试rip是否连通
三个路由器均做route操作。
对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置
代码如下:
Route(config)#route rip
Route(config-route)#net 1 deny 1 permit any
Route(config)#int s3/0
Route(config-if)#ip access-group 1 in
Route(config-if)#end
步骤2:检验线路是否通畅
将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。
检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
访问控制列表acl实验报告

访问控制列表(ACL)实验报告1. 实验简介本实验旨在介绍访问控制列表(Access Control List,ACL)的基本概念和使用方法。
ACL是一种用于限制对网络资源访问的方式,通过配置规则表来控制网络流量的传输。
本实验将分为以下几个步骤进行。
2. 实验环境在进行实验前,我们需要准备以下环境:•一台已安装操作系统的计算机•网络设备(如路由器、交换机等)•网络拓扑图(可参考附录)3. 实验步骤步骤一:了解ACL的基本概念在开始配置ACL之前,我们需要了解ACL的基本概念。
ACL由一条或多条规则组成,每条规则定义了一种访问控制策略。
ACL可以基于源IP地址、目标IP地址、协议类型、端口号等信息进行过滤。
步骤二:创建ACL对象我们首先需要在网络设备上创建ACL对象。
打开命令行界面,输入以下命令来创建一个名为“ACL1”的ACL对象:config terminalip access-list extended ACL1步骤三:配置ACL规则接下来,我们可以通过添加ACL规则来实现访问控制。
假设我们要限制某个IP地址的访问权限,可以输入以下命令来添加ACL规则:permit ip 192.168.0.1 any上述命令表示允许IP地址为192.168.0.1的主机访问任何目标IP地址。
同样地,我们可以添加更多的规则来满足需求。
步骤四:将ACL应用到接口在配置完ACL规则后,我们需要将ACL应用到网络设备的接口上,以实现访问控制。
假设我们要将ACL1应用到接口GigabitEthernet0/1上,可以输入以下命令:interface GigabitEthernet0/1ip access-group ACL1 in上述命令中的“in”表示将ACL应用到入向流量上。
如果需要将ACL应用到出向流量上,可以使用“out”参数。
步骤五:验证ACL配置最后,我们需要验证ACL的配置是否生效。
可以通过发送测试流量来检查ACL 是否按照预期工作。
访问控制列表acl实验报告

访问控制列表acl实验报告访问控制列表(ACL)实验报告引言:访问控制列表(ACL)是一种用于网络设备和操作系统中的安全机制,用于限制用户或进程对资源的访问权限。
通过ACL,管理员可以精确地控制谁可以访问特定的资源,以及访问的方式和权限。
本实验报告将介绍ACL的基本概念、实验目的、实验环境、实验步骤和实验结果,并对实验过程中遇到的问题和解决方案进行讨论。
一、ACL的基本概念ACL是一种由许多规则组成的表格,每个规则都包含一个或多个条件和一个动作。
条件可以基于源IP地址、目标IP地址、源端口、目标端口、协议类型等进行匹配。
动作可以是允许或拒绝访问。
ACL通常应用于网络设备(如路由器和交换机)或操作系统的防火墙功能,用于过滤和控制进出网络的流量。
二、实验目的本实验的目的是通过配置和测试ACL,了解ACL的工作原理、应用场景和配置方法。
通过实验,我们可以深入理解ACL对网络安全的重要性,以及如何使用ACL来保护网络资源免受未经授权的访问。
三、实验环境本实验使用了一台配置了Cisco IOS操作系统的路由器作为实验设备。
路由器上有多个接口,分别连接到不同的网络。
我们将通过配置ACL来控制不同网络之间的通信流量。
四、实验步骤1. 配置ACL规则:首先,我们需要确定要保护的资源和规定访问权限。
根据实验需求,我们可以创建多个ACL规则,每个规则对应一个特定的访问需求。
例如,我们可以创建一个规则,允许内部网络的用户访问外部网络的HTTP服务,但禁止访问其他协议。
通过配置源IP地址、目标IP地址和协议类型等条件,我们可以精确地定义ACL规则。
2. 应用ACL规则:一旦我们创建了ACL规则,就需要将其应用到适当的接口或设备上。
在路由器上,我们可以将ACL规则应用到特定的接口,以控制从该接口进出的流量。
通过配置入站和出站的ACL规则,我们可以限制流量的方向和访问权限。
3. 测试ACL效果:配置完成后,我们需要测试ACL的效果,确保ACL规则能够正确地过滤和控制流量。
实验6标准ACL的配置

实验6标准ACL的配置
一、实验目的
熟悉标准ACL的配置方法及配置指令、验证ACL的工作原理。
二、实验内容及屏幕截图
1、实验6-1:在如图6.1的网络拓扑结构中,配置ACL。
要求:允许主机1访问Router1,拒绝主机1外的10.1.1.0网段访问Router1,允许其他流量访问R1,先在整个网络上配置RIP,使整个网络可以通信,再配置标准ACL,并验证。
图6.1 网络拓扑图
配置与验证过程,如截图6-1所示:
R1路由器端口配置:
R1路由协议配置:
R1路由器ACL配置:
R2路由器端口配置:
R2路由协议配置:
R2路由器ACL配置:
ACL验证:
2、实验6-2:在如图6.2的网络拓扑结构中,配置ACL。
在如下图所示的网络中,要求在61.128.64.0这个网段上只允许主机61.128.64.1访问网段2,网段3(172.16.0.0)可以访问网段2,其他的任何主机对网段2的访问均被拒绝。
图6.2 网络拓扑图
配置与验证过程,如截图6-2所示:
三、实验分析与结论
1. in与out参数的含义?
2. ACL表如何绑定到端口上?
3. ACL的工作原理?
4. 实验结论。
ACL访问控制列表配置

ACL的使用ACL的处理过程:1. 它是判断语句,只有两种结果,要么是拒绝(den y ,要么是允许(permit)2. 语句顺序按照由上而下的顺序处理列表中的语句3. 语句排序处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。
4. 隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny)要点:1. ACL能执行两个操作:允许或拒绝。
语句自上而下执行。
一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。
如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。
一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
2. 如果在语句结尾增加deny any的话可以看到拒绝记录3. Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。
示例:编号方式标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
)允许172.17.31.222通过,其他主机禁止Cisco-3750(co nfig)#access-list 1 (策略编号)(1-99、1300-1999) permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750(co nfig)#access-list 1 de ny host 172.17.31.222Cisco-3750(c on fig)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254 (反码255.255.255.255 减去子网掩码,如172.17.31.0/24 的255.255.255.255 —255.255.255.0=0.0.0.255)禁止172.17.31.0/24通过,其他主机允许Cisco-3750(co nfig)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(c on fig)#access-list 1 permit any二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。
访问控制列表ACL配置实验

实验3:访问控制列表ACL配置实验1、实验目的对路由器的访问控制列表ACL进行配置。
2、实验设备路由器2台,PC机3台,串行线1对,交叉双绞线3根;3、实验要求(1)实验任务用串行线通过Serial 口将2台路由器直接连接起来后,给每台PC机所连FastEthernet 口分配一个IP地址,对路由器作配置后,查验访问控制表内容,并通过1台PC机PING另1台PC机进行验证。
(2)实验预习熟悉IP地址、MAC地址和常用端口号码的含义。
(3)实验报告①简要叙述组成访问控制列表ACL形成的主要方法。
②简单叙述如何对常见病毒端口进行防护以提高网络安全性。
③实验中遇到了什么问题,如何解决的,以及本人的收获与体会。
4、实验原理(1)网络拓扑图(2)配置命令说明(config)#ip access-list standard name/*创建标准ACL(config-std-nacl)#deny|permit source-ip-add wildcard|host source-ip-add|any [time-rangetime-range-name] /*拒绝|允许源IP地址(config)#ip access-list extended name/*创建扩展ACL(config-ext-nacl)#deny|permit protocol source-ip-add wildcard|host source-ip-add |any destinationdestination-ip-add wildcard|host destination-ip-add|any eq tcp|udp port-number[time-range time-range-name] /*拒绝|允许源IP地址、目的IP地址、端口(config)#mac access-list extended name/*创建MAC扩展ACL(config-ext-macl)#d eny|permit any|host source-mac-address any|hostdestination-mac-address [time-range time-range-name]/*拒绝|允许源MAC地址、目的MAC 地址(config-if)#ip access-group name in /*关联ACL到接口(config)#time-range name/*创建时间段5、实验步骤(1)搭建实验环境,使三个网段(192.168.1.0 /192.168.1.0 /192.168.1.0)内主机能够互相连通R2801-A>ena#conf t(config)int s0/2/0(config-if)ip address 10.1.1.1 255.255.255.0(config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.1.1 255.255.255.0(config-if)no shutdown(config-if)router rip(config-if)version 2(config-if)net 10.1.1.0(config-if)net 192.168.1.0(config-if)end#2801C B/* 切换到设备R2801-B上>ena#conf t(config)int s0/2/0(config-if)ip address 10.1.1.2 255.255.255.0 (config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.2.1 255.255.255.0 (config-if)no shutdown(config-if)int f0/1(config-if)ip address 192.168.3.1 255.255.255.0 (config-if)no shutdown(config-if)router rip(config-if)version 2(config-if)net 10.1.1.0(config-if)net 192.168.2.0(config-if)net 192.168.3.0(config-if)end#show run-config /*运行结果见下图#show ip route /* 查看路由表,确保当前路由信息已在路由之间被正常学习PC1上:将“网络连接”属性中的IP指定为:192.168.1.2;网关为:192.168.1.1。
ACL访问控制列表配置.

ACL的使用ACL的处理过程:1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit)2.语句顺序按照由上而下的顺序处理列表中的语句3.语句排序处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。
4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny)要点:1.ACL能执行两个操作:允许或拒绝。
语句自上而下执行。
一旦发现匹配,后续语句就不再进行处理一因此先后顺序很重要。
如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。
一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
2.如果在语句结尾增加denyany的话可以看到拒绝记录3.CiscoACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。
示例:编号方式标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
)允许172.17.31.222通过,其他主机禁止Cisco-3750(config)#access-list1(策略编号)(1-99、1300-1999)permithost172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list1denyhost172.17.31.222Cisco-3750(config)#access-list1permitany允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list1permit172.17.31.00.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255)禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list1deny172.17.31.00.0.0.254Cisco-3750(config)#access-list1permitany二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。
访问控制列表实验报告

访问控制列表实验报告《访问控制列表实验报告》摘要:本实验旨在通过实际操作,了解和掌握访问控制列表(ACL)的基本概念和应用。
通过对ACL的配置和管理,实现对网络资源的访问控制和权限管理。
本文将详细介绍实验的目的、实验环境、实验步骤和实验结果,并对实验过程中遇到的问题和解决方案进行总结和分析。
1. 实验目的访问控制列表(ACL)是一种用于控制网络资源访问权限的重要机制,通过ACL可以对网络流量进行过滤和控制,保护网络安全。
本实验旨在通过实际操作,掌握ACL的基本概念和配置方法,实现对网络资源的访问控制和权限管理。
2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网,通过路由器进行网络流量的控制和管理。
实验中使用了Cisco路由器,并配置了基本的网络环境和访问控制列表。
3. 实验步骤(1)配置路由器基本网络环境,包括IP地址、子网掩码等;(2)创建访问控制列表,并定义访问控制规则;(3)将访问控制列表应用到路由器的接口上,实现对网络流量的控制和管理;(4)测试ACL的效果,验证ACL对网络流量的过滤和控制。
4. 实验结果通过实验操作,成功创建了访问控制列表,并将其应用到路由器的接口上。
在测试过程中,发现ACL可以有效地对网络流量进行过滤和控制,实现了对特定IP地址或端口的访问限制。
5. 问题与解决在实验过程中,遇到了一些配置和测试中的问题,如ACL规则的定义和应用不当导致网络流量无法正常通过等。
通过查阅资料和与实验指导老师讨论,最终找到了解决方案,并成功完成了实验目标。
6. 总结与展望本次实验通过实际操作,加深了对访问控制列表的理解和应用,掌握了ACL的配置和管理技术。
ACL作为网络安全的重要手段,对于保护网络资源和数据具有重要意义。
未来,可以进一步学习和探索ACL在实际网络环境中的应用,提高网络安全性和管理效率。
通过本次实验,对访问控制列表有了更深入的了解,掌握了其基本配置和应用方法,为今后的网络管理和安全工作奠定了基础。
访问控制列表(acl)实验报告

访问控制列表(acl)实验报告访问控制列表(Access Control Lists,简称ACL)是一种用于控制网络资源访问权限的技术。
通过ACL,网络管理员可以根据需要限制或允许特定用户或用户组对网络资源的访问。
本文将介绍ACL的基本概念、实验过程以及实验结果。
一、ACL的基本概念ACL是一种应用于路由器或交换机等网络设备上的访问控制机制。
它通过在设备上设置规则,控制网络流量的进出。
ACL的规则由访问控制表(Access Control Table)组成,每个规则由一个或多个条件和一个动作组成。
条件可以是源IP地址、目的IP地址、协议类型、端口号等,动作可以是允许通过、阻止或丢弃数据包。
二、实验过程1. 实验环境准备为了进行ACL实验,我们需要准备一台路由器或交换机,并连接一些主机和服务器。
在实验开始之前,需要确保所有设备的网络连接正常,并且已经了解每个设备的IP地址和子网掩码。
2. 创建ACL规则在路由器或交换机上,我们可以通过命令行界面(CLI)或图形用户界面(GUI)来创建ACL规则。
这里以CLI为例,假设我们要限制某个子网内的主机访问外部网络。
首先,我们需要创建一个ACL,并定义允许或阻止的动作。
例如,我们可以创建一个允许外部网络访问的ACL规则,命名为“ACL-OUT”。
然后,我们可以添加条件,比如源IP地址为内部子网的地址范围,目的IP地址为任意外部地址,协议类型为TCP或UDP,端口号为80(HTTP)或443(HTTPS)。
3. 应用ACL规则创建ACL规则后,我们需要将其应用到适当的接口或端口上。
这样,所有经过该接口或端口的数据包都会受到ACL规则的限制。
在路由器或交换机上,我们可以使用“应用ACL”命令将ACL规则应用到指定的接口或端口上。
例如,我们可以将“ACL-OUT”规则应用到连接外部网络的接口上,从而限制内部子网的主机访问外部网络。
4. 测试ACL规则在应用ACL规则后,我们可以进行一些测试来验证ACL的有效性。
6实验六 ACL的配置

实验六 ACL的配置实验目的:1、学习使用ACL(访问控制列表)来控制网络访问;2、熟练掌握标准ACL、扩展ACL、命名ACL的配置及调试。
3、使用标准 ACL 控制对 vty 线路的访问实验知识要点:一、ACL简介访问控制列表简称为ACL( Access Control Lists ),它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
简而言之,访问控制列表是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合。
二、ACL实现的功能1、保护内部网络免受来自Internet的非法入侵;2、拒绝或允许流入(或流出)的数据流通过特定的接口;3、限制对虚拟终端端口的访问。
4、流量匹配NAT三、ACL工作流程五、ACL指令1、ACL的执行顺序。
当路由器在决定是否转发或者阻止数据包的时候,Cisco的IOS软件,按照ACL中指令从上至下的顺序依次检查数据包是否满足某一个指令条件。
直到找到一条可以匹配的语句,然后根据定义的规则做出相应的操作(拒绝或允许),如果所有的条件判断语句都检测完毕,仍没有匹配的条件语句,那么,该数据包将视为被拒绝或被丢弃(在ACL中,最后强加一条拒绝全部流量的暗含语句)。
所以,ACL中各语句的放置顺序很重要,相同的规则,顺序不同,将会出现不同的结果。
当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。
2、ACL的作用方向在每一个路由器的每一个端口,可以为每一个支持的Routed Protocols创建一个 ACL。
对于某些协议,可以创建多个ACL:一个用于过滤进入端口的数据流inbound,一个用于过滤流出端口的数据流outbound。
每个端口每个协议(IP、IPX、APPLETALK)每个方向(outbound、inbound)只能创建一个ACL。
3、ACL的放置原则扩展ACL尽量靠近源端;标准ACL尽量靠近目的端。
访问控制列表(acl)实验报告

访问控制列表(acl)实验报告访问控制列表(ACL)实验报告引言访问控制列表(ACL)是网络安全中常用的一种技术,它可以帮助网络管理员控制用户或者系统对资源的访问权限。
为了更好地了解ACL的工作原理和应用,我们进行了一系列的实验,并撰写了本报告,以总结实验结果并分享我们的经验。
实验目的本次实验的目的是探索ACL的基本概念、配置方法和应用场景,通过实际操作来加深对ACL的理解,并验证ACL在网络安全中的重要性和作用。
实验内容我们首先学习了ACL的基本概念和分类,包括标准ACL和扩展ACL。
接着,我们使用网络模拟软件搭建了一个简单的网络环境,并在路由器上配置了ACL,限制了不同用户对特定资源的访问权限。
我们还进行了一些模拟攻击和防御的实验,比如尝试绕过ACL进行非法访问,以及通过ACL阻止恶意访问。
实验结果通过实验,我们深入了解了ACL的配置方法和工作原理。
我们发现,ACL可以有效地限制用户或系统对网络资源的访问,提高了网络的安全性。
同时,ACL也能够帮助网络管理员更好地管理网络流量和资源利用,提高网络的性能和效率。
实验结论ACL是网络安全中一种重要的访问控制技术,它能够有效地保护网络资源不受未经授权的访问和攻击。
通过本次实验,我们更加深入地了解了ACL的工作原理和应用,认识到ACL在网络安全中的重要性。
我们将继续学习和探索ACL的更多应用场景,并将ACL技术应用到实际的网络安全实践中,保护网络资源的安全和完整性。
总结通过本次实验,我们对ACL有了更深入的了解,并且掌握了ACL的基本配置方法和应用技巧。
我们相信ACL将在未来的网络安全中发挥越来越重要的作用,我们将继续学习和研究ACL技术,为网络安全做出更大的贡献。
访问控制列表acl实验报告

访问控制列表acl实验报告访问控制列表(ACL)实验报告引言在计算机网络中,访问控制列表(ACL)是一种用于控制网络资源访问权限的重要技术。
通过ACL,网络管理员可以限制特定用户或设备对网络资源的访问,从而提高网络安全性和管理效率。
为了深入了解ACL的工作原理和应用场景,我们进行了一系列的ACL实验,并撰写了本实验报告。
实验目的本次实验旨在通过搭建网络环境和配置ACL规则,探究ACL在网络安全管理中的作用和应用。
实验环境我们搭建了一个简单的局域网环境,包括一台路由器和多台主机。
路由器上运行着一个基于ACL的访问控制系统,可以对主机之间的通信进行控制。
实验步骤1. 配置ACL规则:我们首先在路由器上配置了一系列ACL规则,包括允许或拒绝特定主机的访问请求,以及限制特定协议或端口的通信。
2. 实施ACL控制:接下来,我们模拟了不同的网络访问场景,例如试图访问被ACL规则拒绝的资源、尝试使用被ACL规则限制的协议进行通信等,以验证ACL规则的有效性和准确性。
3. 分析实验结果:通过观察实验过程中的网络通信情况和ACL规则的生效情况,我们对ACL的工作原理和应用进行了深入分析和总结。
实验结果在实验过程中,我们发现ACL可以有效地限制不同主机之间的通信,保护网络资源的安全。
通过合理配置ACL规则,我们可以实现对特定用户或设备的访问控制,从而提高网络的安全性和管理效率。
结论ACL作为一种重要的网络安全技术,在实验中展现出了其强大的功能和应用价值。
通过本次实验,我们更加深入地了解了ACL的工作原理和应用场景,为今后的网络安全管理工作提供了重要的参考和借鉴。
ACL将继续在网络安全领域发挥重要作用,我们也将继续深入研究和应用ACL技术,为网络安全做出更大的贡献。
acl访问控制列表实验报告

acl访问控制列表实验报告ACL访问控制列表实验报告引言:ACL(Access Control List)是一种用于控制网络设备上数据流的访问权限的技术。
通过配置ACL,可以限制特定IP地址、端口或协议的数据流进入或离开网络设备。
本实验旨在通过实际操作和测试,深入了解ACL的原理和应用。
实验目的:1. 了解ACL的基本概念和工作原理;2. 掌握使用ACL配置网络设备的方法;3. 验证ACL的有效性和应用场景。
实验环境:本次实验使用了一台Cisco路由器和两台主机。
路由器上配置了多个接口,分别连接到两台主机所在的局域网。
实验步骤:1. 配置ACL规则:在路由器上使用命令行界面,通过访问特定的配置模式,添加ACL规则。
例如,我们可以配置一个允许192.168.1.0/24网段的数据流进入路由器的规则。
同时,我们也可以配置一个拒绝来自特定IP地址的数据流的规则。
2. 应用ACL规则:将配置的ACL规则应用到路由器的接口上。
这样,数据流在进入或离开接口时,会被ACL规则所检查和过滤。
3. 测试ACL的有效性:在两台主机之间进行数据通信测试,观察ACL规则是否生效。
例如,我们可以尝试从一个被拒绝的IP地址向另一台主机发送数据包,看是否被ACL规则所阻止。
实验结果与分析:经过实验测试,ACL成功地实现了对数据流的访问控制。
我们发现,配置ACL规则后,只有符合规则的数据包才能通过路由器。
对于不符合规则的数据包,路由器会根据配置的操作(允许或拒绝)进行处理。
ACL的应用场景非常广泛。
例如,在企业网络中,可以使用ACL限制特定IP地址或IP地址范围的访问,以增强网络的安全性。
此外,ACL还可以用于流量控制和负载均衡等方面。
实验总结:通过本次实验,我们深入了解了ACL的原理和应用。
ACL作为一种重要的网络安全技术,可以有效地控制网络数据流的访问权限。
在实际应用中,我们需要根据具体需求和网络环境,合理配置ACL规则,以保障网络的安全性和性能。
网络安全之-ACL(访问控制列表)

网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。
2、熟悉高级ACL的应用场合并灵活运用。
【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。
【引入案例1】某公司建设了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。
自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。
有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。
一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。
网络安全采用的技术很多,通过ACL(Access Control List,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。
【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。
ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permint)或禁止(Deny)数据包通过。
基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。
每个端口的出站方向(Outbound)和入站方向(Inbound)均可配置独立的ACL 进行包过滤。
出方向过滤基于ACL的包过滤当路由器收到一个数据包时,如果进入端口处没有启动ACL包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了ACL包过滤,则数据交给入站防火墙进行过滤,其工作流程如图所示。
实验6 访问控制列表

实验6 访问控制列表6.1 标准访问控制列表标准ACL 的表号取值范围是1~99。
标准ACL 语句格式为:access-list 表号 {permit | deny} {地址 通配符掩码 | any | host 地址} 表号相同的语句组成一个ACL 。
把ACL 应用在设备接口上:interface 接口ip access-group 表号 {in | out} 本部分内容可以在Boson 模拟器上练习。
拓扑结构:本网络模拟一个场景:192.168.1.0子网是一个资源子网,它只允许来自工作场所的主机访问。
工作场所有多个子网,IP 地址使用172.16.#.#格式定义。
其余格式的IP 地址均为休闲场所。
说明:在一般情况下,划分子网多使用三层交换机,但Boson 中的3550交换机不支持访问控制列表,所以此处使用路由器。
R3620路由器是一个模块化路由器,它的接口名为E0/0、E0/1、E0/2、E0/3。
1、配置R3620:各接口都配置IP 地址。
(注:路由器接口IP 地址的最后一个数均为1。
)PC2 172.16.1.2/24PC3 172.16.2.2/24PC4 10.1.1.2/242、配置各计算机的IP地址、子网掩码、默认网关。
(此时各PC机都可以通信。
)3、定义一个标准ACL:源地址为172.16.#.#格式的主机可以访问192.168.1.0/24网络中的主机,其它不能访问。
4、验证结果:PC2、PC3可以访问PC1,PC4不能访问PC1,但可以访问PC2和PC3。
常见问题:(1) 如果配置ACL时把参数写错了,或语句顺序有错误,修改时需要删除整个ACL,再重新定义。
删除ACL的方法是:R3620(config)# no access-list 表号说明:Boson不支持删除ACL,所以,在Boson中只能重装拓扑图,重新配置。
(2) 如果应用ACL时,选错了接口,需要删除它在接口上的定义,删除方法是:R3620(config)# interface 接口R3620(config-if)# no ip access-group 表号{in | out}6.2 扩展访问控制列表扩展ACL的表号取值范围是100~199。
acl 访问控制列表原理

acl 访问控制列表原理
ACL(Access Control List)是一种用于管理网络设备或操作系统中访问控制的机制。
它定义了谁可以访问特定资源以及如何访问这些资源。
ACL 的原理基本上是将权限控制信息与每个对象相关联。
对象可以是文件、目录、网络接口或其他资源。
ACL 由一系列访问控制条目(ACEs)组成,每个ACE 包含一个用户或组的标识符以及对该用户或组的访问权限。
ACL 的工作流程通常如下:
1. 对象创建:当创建一个对象时(例如文件),ACL 可能会默认为该对象分配一个初始的访问控制列表。
2. 访问请求:当用户或进程尝试访问一个对象时,系统会根据ACL 进行访问控制决策。
该请求可能是读取、写入、执行或删除等操作。
3. 匹配规则:系统会逐条检查ACL 中的访问控制条目,以找到与请求匹配的条目。
4. 权限验证:如果找到匹配的条目,系统会验证用户或进程是否具有执行该操作所需的权限。
如果权限验证通过,则允许访问;否则,拒绝访问。
5. 默认规则:如果在ACL 中没有找到匹配的条目,则会根据系统的默认规则来确定是否允许或拒绝访问。
ACL 可以具体到个体用户或组,也可以进行继承和层级控制。
它提供了灵活的权限管理机制,使得管理员可以根据需要为不同的对象和用户分配不同的权限。
需要注意的是,ACL 是一种软件实现的机制,具体的实现方式可能因操作系统或网络设备的不同而有所差异。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
***
fyy(config)#time-range fyy
fyy(config-time-range)#periodic weekdays 09:00 to 18:00//定义一个时间周期
fyy(config-time-range)#exi
fyy(conf192.168.1.0 0.0.0.255 any time-range fyy
fyy(config-if)#in f0/4
fyy(config-if)#switchport access vlan 4//将f0/4接口加入vlan4
fyy(config-if)#end
fyy#
*Mar 1 00:08:41.403: %SYS-5-CONFIG_I: Configured from console by console
fyy(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 any time-range fyy
fyy(config)#access-list 102 deny ip 192.168.3.0 0.0.0.255 any time-range fyy
fyy(config-if)#exi
fyy(config)#interface vlan 3
fyy(config-if)#ip add 192.168.3.1 255.255.255.0
fyy(config-if)#no sh//为vlan3设置ip地址并激活
fyy(config-if)#exi
fyy(config)#interface vlan 4
fyy#vlan database
fyy(vlan)#vtp domain fyy//创建vtp域,同步交换机间vlan信息
Changing VTP domain name from NULL to fyy
fyy(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
fyy(vlan)#vlan 3
fyy(config-if)#no sh//为f0/0设置ip并激活
fyy(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2//设置默认路由,使内网可以访问外网
fyy(config)#ip routing//开启路由转发功能
***
fyy(config)#$ 100 deny tcp host 192.168.1.10 host 192.168.4.10 eq 21
fyy(config)#access-list 102 permit ip any any
fyy(config)#interface f0/0
fyy(config-if)#ip access-group 102 in
//定义扩展ACL101并与已定义的时间周期相结合,除了服务器区域,禁止员工在工作期间访问外网
fyy(config)#ip route 192.168.0.0 255.255.248.0 192.168.10.1//设置路由表
fyy(config)#
三、验证:
1、全网互通:
2、Pc2能访问SER01 FTP服务器,但不可以ping通
3、Vlan1与vlan3不可互访:
4、工作期间员工不能访问互联网:
fyy(config)#access-list 100 permit ip any any
//定义扩展ACL100,允许1.10访问4.10ftp服务器,但允许访问其他服务
fyy(config)#in vlan 1
fyy(config-if)#ip access-group 100 in//将已定义的ACL100应用到vlan1接口进站方向
fyy(config-if)#switchport access vlan 3//将f0/3加入vlan3
*****f0/1默认就属于vlan1,所以不必再加vlan*****
SW3
fyy(config)#in f0/0
fyy(config-if)#switchport mode trunk//将f0/0接口设为trunk
二、实验步骤:
SW1
fyy(config)#in ra f0/1 -2
fyy(config-if-range)#switchport mode trunk//将f0/1-2接口改为trunk链路,
fyy(config-if)#
fyy(config)#interface vlan 1
fyy(config-if)#ip add 192.168.1.1 255.255.255.0
***********************************验证成功************************************
fyy(config-if)#no sh//为vlan1设置ip地址并激活
fyy(config-if)#exi
fyy(config)#interface vlan 2
fyy(config-if)#ip add 192.168.2.1 255.255.255.0
fyy(config-if)#no sh//为vlan2设置ip地址并激活
fyy(config-if)#ip add 192.168.4.1 255.255.255.0
fyy(config-if)no sh //为vlan4设置ip地址并激活
fyy(config)#in f0/0
fyy(config-if)#no switchport//将f0/0接口改为路由接口
fyy(config-if)#ip add 192.168.10.1 255.255.255.0
VLAN 3 added:
Name: VLAN0003
fyy(vlan)#vlan 4
VLAN 4 added:
Name: VLAN0004
fyy(vlan)#exi
APPLY completed.
Exiting....
fyy#conf t
R1
fyy(config)#in e0/0
fyy(config-if)#ip add 192.168.10.2 255.255.255.0
注:此限制要灵活运用
fyy(config)#in f0/0
fyy(config-if)#ip access-group 101 in//将扩展ACL101应用到f0/0接口进站方向
SW2
fyy(config)#in f0/0
fyy(config-if)#switchport mode trunk//将f0/0接口设为trunk
fyy(config-if)#no sh//为e0/0设置ip并激活
fyy(config-if)#in e0/1
fyy(config-if)#ip add 202.106.0.1 255.255.255.0
fyy(config-if)#no sh//为e0/1设置ip并激活
fyy(config-if)#exi
fyy(config-if)#exi
fyy(config)#access-list 1 deny 192.168.1.00.0.0.255//定义标准ACL1,拒绝1.0网段访问
fyy(config)#interface vlan 3
fyy(config-if)#ip access-group 1 in//将已定义好的ACL1应用到vlan3接口进站方向
fyy(config-if)#in f0/2
fyy(config-if)#switchport mode access
fyy(config-if)#switchport access vlan 2//将f0/2加入vlan2
fyy(config-if)#in f0/3
fyy(config-if)#switchport mode access
实验报告
一、实验描述:
1、规划企业网络,配置ACL对员工进行合理限制,节省网络资源以及提高网络安全性等
2、拓扑图:
3、实验要求:
配置VLAN实现全网互通
配置扩展acl,拒绝pc2访问SER01服务器的21端口
配置标准acl,拒绝vlan1与vlan3互访
配置扩展acl,使员工区域在工作期间(周一~周五09:00-18:00)不可访问互联网