实验十一：标准访问控制列表配置

《网络互联技术》课程实验指导书

实验十一：标准访问控制列表配置

当网络管理员想要阻止某一网络的所有通信流量时，或者允许来自某一特定网络的所有通信流量时，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表实现这一目标。

标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。

一、网络拓朴

二、实验内容

1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是：（对于TCP数据包来说，访问是双向的，只要A不能访问B，则B也将不能访问A）

●HostA和HostB之间可以通信，但无法访问HostC、HostD。

●HostC和HostD之间可以通信，但无法访问HostA、HostB。

2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出（从路由器端口出来转向

交换机或主机）的数据包进行过滤，实现功能：禁止HostA、HostC访问Server E服务器。

由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量，因此，应该将ACL 访问控制列表放置离目标地址最近的地方。

三、实验目的

1、掌握标准访问控制列表的原理

2、掌握标准访问控制列表的配置

四、实验设备

1、一台台思科（Cisco）3620路由器

2、两台思科（Cisco）2950二层交换机

3、思科（Cisco）专用控制端口连接电缆

4、四台安装有windows 98/xp/2000操作系统的主机

5、一台提供WWW服务的WEB服务器

6、若干直通网线与交叉网线

五、实验过程（需要将相关命令写入实验报告）

1、根据上述图示进行交换机、路由器、主机的连接

2、设置主机的IP地址、子网掩码和默认网关

3、配置路由器接口

Router> enable

Router# configure terminal

Router(config)# interface ethernet 0/0

Router(config-if)# ip address 192.168.1.1 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)# exit

Router(config)# interface ethernet 0/1

Router(config-if)# ip address 192.168.3.1 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)# exit

Router(config)# interface ethernet 0/2

Router(config-if)# ip address 192.168.2.1 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)#exit

4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上

Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255

Router(config)# access-list 6 permit any

Router(config)# interface ethernet 0/0

Router(config-if)# ip access-group 6 out

Router(config-if)# exit

5、配置访问控制列表10并将之添加到Ethernet 0/1接口的out方向上

Router(config)# access-list 10 deny host 192.168.1.2

Router(config)# access-list 10 deny host 192.168.2.2

Router(config)# access-list 10 permit any

Router(config)# interface ethernet 0/1

Router(config-if)# ip access-group 10 out

Router(config-if)# exit

6、查看设置的访问控制列表信息

Router# show access-lists

7、查看e 0/0 接口上设置的访问控制列表信息

Router# show ip interface e 0/0

8、查看e 0/1 接口上设置的访问控制列表信息

Router# show ip interface e 0/1

六、思考问题

1、请简述标准访问控制列表与扩展访问控制列表有何区别？

2、请简述设置标准访问控制列表的操作过程。

七、实验报告要求：

按学院实验报告要求完成实验报告的书写。

1、在实验名称的下方写明当前实验的时间（年月日）

2、在实验报告中必须回答当前实验的思考问题

3、实验报告中要求划分当前实验的网络拓朴结构图并书写各步的操作命令。