实验6-ip访问控制列表

实验六 利用IP 扩展访问列表实现应用服务的访问限制【实验名称】利用IP 扩展访问列表实现应用服务的访问限制。

【实验目的】掌握在交换机上编号的扩展IP 访问列表规则及配置。

【背景描述】你是学校的网络管理员，在3750-24交换机上连着学校的提供WWW 和FTP 的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对服务器进行FTP 访问，不能进行WWW 访问，教工则没有此限制。

【需求分析】不允许VLAN30(连接R3)的主机去访问VLAN10(连接R1)的网络中的web 服务，其它的不受限制。

【实验拓扑】R1192.168.20.1f0/0f0/1f0/3f0/2f0/0f0/0R3R2192.168.30.1192.168.20.2192.168.30.2192.168.10.2192.168.10.1【实验设备】S3750交换机 1台PC 3台直连线 3条【预备知识】路由器基本配置知识、访问控制列表知识。

【实验原理】IP ACL （IP 访问控制列表或IP 访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。

从而提高网络可管理性和安全性。

IP ACL 分为两种：标准IP 访问列表和扩展IP 访问列表。

标准IP 访问列表可以根据数据包的源IP 地址定义规则，进行数据包的过滤。

扩展IP 访问列表可以根据数据包的源IP 、目的IP 、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用，分为入栈应用和出栈应用。

入栈应用是指由外部经该接口进行路由器的数据包进行过滤。

出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。

【实验步骤】注意打reload命令！打出此命令后等60秒再按两次回车键步骤1 设计拓扑结构根据拓扑结构图绘制拓扑结构。

访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签：控制列表配置职场休闲【网络环境】网络时代的高速发展，对网络的安全性也越来越高。

西安凌云高科技有限公司因为网络建设的扩展，因此便引入了访问控制列表(ACL)来进行控制，作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢？【网络目的】明白ACL访问控制列表的原理、以及正确的配置；按照网络拓扑图的要求来正确的连接设备。

创建访问控制列表来满足我们所定义的需求；【网络拓扑】【实验步骤】第一步：配置Router1的端口IP地址：（注意：在配置之前我们先要明白ACL访问控制列表的工作原理；ACL访问控制列表的原理是它是以包过滤技术，在路由器上读取OSI7层模型的第三层和第四层包头中的信息，根据自己预先定义好的规则，对包进行过滤，从而来达到访问控制的目的。

我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段？但是又怎么样才能让它们互相通信？根据拓扑图：我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类，AC L通过在接口路由器上接口出控制数据包是转发还是丢弃，来过滤通信流量。

路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是，从而来决定该数据包是转发还是丢弃！！！）第二步：配置Router2的端口IP地址：（注意：ACL访问控制列表分为最基本的两种，它们是标准访问控制列表和扩展访问控制列表：标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。

结果是基于源网络/子网/主机的IP地址，来决定该数据包是转发还是拒绝该数据包；它所使用1~99之间的数字作为表号。

扩展访问控制列表是对数据包的源地址和目的地址均进行检查，它也可以检查特定的协议、端口号以及其他的修改参数。

它所使用的是100~199之间的数字作为表号；我们在这里只对标准访问控制列表和扩展访问控制列表进行说明；还有一些例如：基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。

IP访问控制列表（ACL）实验【实验目的】掌握网络交换设备的标准IP访问列表规则及配置。

1.准备知识IP ACL(IP访问控制列表或IP访问列表)，是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。

从而提高网络可管理性和安全性。

类似于包过滤防火墙的功能。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用方向分为：入口应用和出口应用。

入口应用是对由外部经该接口进入路由器的数据包进行过滤。

出口应用是对从路由器接口向外转发数据时的数据包过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

2.实验模拟环境和拓扑图在3760三层交换机上连着学校的服务器，另外还连接着学生宿舍楼和学校的办公区，学校规定学生宿舍楼只能访问学校的Web服务器，不能访问办公区。

办公区可以访问学校的Web和FTP服务器。

先配置好VLAN 10中的Web/FTP服务器。

3.配置命名的标准IP访问列表根据以上要求，配置步骤如下：（1）配置三个VLAN：Switch(config)#vlan 10Switch(config-vlan)#name serverSwitch(config)#vlan 20Switch(config-vlan)#name teachersSwitch(config)#vlan 30Switch(config-vlan)#name students（2）将交换机端口加入相对应的VLAN：Switch(config)#interface f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#exitSwitch(config)#interface f0/3Switch(config-if)#switchport access vlan 30Switch(config-if)#exit（3）为每个VLAN配置IP地址：Switch(config)#int vlan10Switch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip add 192.168.20.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 30Switch(config-if)#ip add 192.168.30.1 255.255.255.0Switch(config-if)#exit（4）配置三台主机：将三台主机分别插入三个VLAN的端口，并为主机配置好IP地址和默认网关地址。

实验一访问控制列表（路由器的防火墙功能）任务1 （标准访问控制列表）网络拓扑结构见图1。

请在packet tracert 软件中仿真实现该网络。

自行设计分配IP地址，检查网络连通性。

设计实现访问控制列表，不允许计算机PC0向外网发送IP数据包，不允许计算机PC2向外网发送任何IP数据包。

图1 ACL访问控制列表实验网络拓扑结构图报告要求：1、IP地址分配表2、路由器0的访问控制列表命令，并解释含义3、路由器1的访问控制列表命令，并解释含义4、测试及结果（加拷屏）任务2（扩展访问控制列表）网络拓扑结构见图1。

要求实现只允许计算机PC0 访问web服务器，只允许计算机PC2访问FTP服务器。

禁止其他一切网络间的数据通信。

报告要求：1、IP地址分配表2、路由器0的访问控制列表命令，并解释含义3、路由器1的访问控制列表命令，并解释含义4、测试方案及结果（加拷屏）任务3 基于上下文的访问控制协议CBAC）的防火墙设置基本原理CBAC(context-based access control)即基于上下文的访问控制。

通过检查通过防火墙的流量来发现&管理TCP和UDP的会话状态信息。

这些状态信息被用来在防火墙访问列表创建临时通道。

通过在流量向上配置ip inspect列表，允许为受允许会话返回流量和附加数据连接，临时打开返回数据通路。

受允许会话是指来源于受保护的内部网络会话。

另外CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面都能应用。

网络拓扑结构见图2。

请在packet tracert 软件中仿真实现该网络。

分配的IP地址如表１所示，请配置好地址和路由（要使用静态路由），并检查网络连通性。

设计实现访问控制列表，不允许外部网络与内部网络通信，但是允许内部网络使用ＨＴＴＰ, ICMP协议访问外部网络的资源。

图２ＣＢＡＣ实验网络拓扑结构表１ＩＰ地址分配表实验步骤：第１步：搭建好网络平台，配置地址和路由信息，（要使用静态路由）检查网络的连通性。

访问控制列表实验报告《访问控制列表实验报告》摘要：本实验旨在通过实际操作，了解和掌握访问控制列表（ACL）的基本概念和应用。

通过对ACL的配置和管理，实现对网络资源的访问控制和权限管理。

本文将详细介绍实验的目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行总结和分析。

1. 实验目的访问控制列表（ACL）是一种用于控制网络资源访问权限的重要机制，通过ACL可以对网络流量进行过滤和控制，保护网络安全。

本实验旨在通过实际操作，掌握ACL的基本概念和配置方法，实现对网络资源的访问控制和权限管理。

2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网，通过路由器进行网络流量的控制和管理。

实验中使用了Cisco路由器，并配置了基本的网络环境和访问控制列表。

3. 实验步骤（1）配置路由器基本网络环境，包括IP地址、子网掩码等；（2）创建访问控制列表，并定义访问控制规则；（3）将访问控制列表应用到路由器的接口上，实现对网络流量的控制和管理；（4）测试ACL的效果，验证ACL对网络流量的过滤和控制。

4. 实验结果通过实验操作，成功创建了访问控制列表，并将其应用到路由器的接口上。

在测试过程中，发现ACL可以有效地对网络流量进行过滤和控制，实现了对特定IP地址或端口的访问限制。

5. 问题与解决在实验过程中，遇到了一些配置和测试中的问题，如ACL规则的定义和应用不当导致网络流量无法正常通过等。

通过查阅资料和与实验指导老师讨论，最终找到了解决方案，并成功完成了实验目标。

6. 总结与展望本次实验通过实际操作，加深了对访问控制列表的理解和应用，掌握了ACL的配置和管理技术。

ACL作为网络安全的重要手段，对于保护网络资源和数据具有重要意义。

未来，可以进一步学习和探索ACL在实际网络环境中的应用，提高网络安全性和管理效率。

通过本次实验，对访问控制列表有了更深入的了解，掌握了其基本配置和应用方法，为今后的网络管理和安全工作奠定了基础。

【实验拓扑】实验时，按照拓扑进行网络的连接，注意主机和路由器连接所用的端口。

【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置路由器模块右键点击路由器RouteA图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

《计算机网络工程》实验指导五：IP访问控制列表配置实验右键点击路由器RouteB图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。

第3页/ 共13页（4）按照网络拓扑图连接设备。

步骤2.在CNS3中点击显示各端口信息，分别对其标注配置信息。

源设备源接口介质类型目标接口目标设备Route A(Route A )S0/0 Serial (Route B )S0/0 Route BRoute A f1/0 Fastethernet NIO-UDP PC1Route A f2/0 Fastethernet NIO-UDP PC3Route B f1/0 Fastethernet NIO-UDP PC2 步骤3、路由器Route A上的基本配置RouteA>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA //路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdown《计算机网络工程》实验指导五：IP访问控制列表配置实验RouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0RouteA (config-if)#clock rate 64000 //配置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 //配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。

【网络拓扑结构图】【实验步骤】1、配置设备接口模块各设备的模块配置及连接能力说明如下表2、设备连接说明3、3.1 RouterA路由器参数配置<配置命令>RouterA>enRouterA#conf tEnter configuration commands, one per line. End with CNTL/Z.RouterA(config)#int fa0/0RouterA(config-if)#ip add 192.168.3.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#*Mar 1 00:11:16.345: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up*Mar 1 00:11:17. 345: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouterA(config)#int fa0/1RouterA(config-if)#ip add 192.168.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#in*Mar 1 00:11:52.138: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up*Mar 1 00:11:53.138: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouterA(config)#int s0/1RouterA(config-if)#ip add 10.1.2.1 255.255.255.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#*Mar 1 00:12:37.923: %LINK-3-UPDOWN: Interface Serial0/1, changed state to upRouterA(config)#*Mar 1 00:12:38.923: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to upRouterA(config-if)#exiRouterA(config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2RouterA(config)#exiRouterA#*Mar 1 00:14:26.167: %SYS-5-CONFIG_I: Configured from console by consoleRouterA#*Mar 1 00:15:27.575: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up<输出配置结果>RouterA#show ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.3.1 YES manual up up Serial0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.1.1 YES manual up up Serial0/1 10.1.2.1 YES manual up up Serial0/2 unassigned YES unset administratively down down Serial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down down Serial1/3 unassigned YES unset administratively down down RouterA#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsC 10.1.2.0 is directly connected, Serial0/1C 192.168.1.0/24 is directly connected, FastEthernet0/1S 192.168.2.0/24 [1/0] via 10.1.2.2C 192.168.3.0/24 is directly connected, FastEthernet0/03.2RouterB路由器参数配置<配置命令>RouterB>enRouterB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouterB(config)#int fa0/1RouterB(config-if)#ip add 192.168.2.1 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#exiRouterB(config)#*Mar 1 00:14:54.354: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up*Mar 1 00:14:55.354: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouterB(config)#int s0/1RouterB(config-if)#ip add 10.1.2.2 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#*Mar 1 00:15:23.324: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up*Mar 1 00:15:24.324: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to upRouterB(config-if)#exiRouterB(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1RouterB(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.1RouterB(config)#exiRouterB#<输出配置结果>RouterB#show ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset administratively down downSerial0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.2.1 YES manual up up Serial0/1 10.1.2.2 YES manual up up Serial0/2 unassigned YES unset administratively down down Serial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down down Serial1/3 unassigned YES unset administratively down down RouterB#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsC 10.1.2.0 is directly connected, Serial0/1S 192.168.1.0/24 [1/0] via 10.1.2.1C 192.168.2.0/24 is directly connected, FastEthernet0/1S 192.168.3.0/24 [1/0] via 10.1.2.14、配置（虚拟）主机参数5测试三台主机PC1、PC2、PC3之间的连通性，保证它们之间能够相互访问。

实训报告实验名称访问控制列表课程名称计算机网络1.实验目的掌握访问控制列表的概念。

能对路由器进行访问控制列表的设置。

2.实验环境（1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。

（2）在计算机上安装有windows xp 的操作系统，并且安装有Cisco Packet Tracer 软件。

3.实训规划和拓扑图规划：4、实验要求：要求：a、Lan 1 不能访问lan 2 .b、Lan 1 能访问lan 3 不能访问lan 4.c、Lan 2能访问lan 4 不能访问lan 3.5、实验步骤：（1）按照规划，构建拓扑图。

（标注好各个接口，和ip地址）（2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip 2.通过show ip route是否学到全网的路由。

R1结果如下：R2结果如下：（3）配置访问控制列表：针对要求：Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)在R1：access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR1的接口f0/1: ip access-group 1 out针对要求：Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照)在R2 :access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR2.f0/1 ip access-group out针对要求：Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照)在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255aceess-list 2 permit anyR2.f0/0:ip access-group 2 out6、实验结果：（1）针对要求：Lan 1 不能访问lan 2. 测试有以下结果：pc1 ping pc2不通，符合要求1，如下图所示。

ip访问控制列表配置实验报告实验报告课程名称⽹络设备与配置实验项⽬ ip访问控制列表的配置专业班级指导教师姓名学号成绩⽇期⼀、实验⽬的掌握路由器上编号的标准IP访问列表规则及配置。

⼆、实验内容1、连线；2、路由器基本配置；3、路由配置；4、IP标准ACL配置；5、测试。

三、实验背景某公司组建⾃⼰的企业⽹，在企业⽹内有公司的财务处、经理部和销售部分属不同的3个⽹段，三个部门之间⽤路由器进⾏信息传递。

为了安全起见，公司领导要求销售部门不能对财务部门进⾏访问，但经理部可以对财务部进⾏访问。

172.16.1.0⽹段代表经理部主机，172.16.2.0⽹段代表销售部主机，172.16.4.0⽹段代表财务部主机。

四、技术原理IP ACL（IP访问控制列表）是实现流经路由器或交换机的数据包根据⼀定规则进⾏过滤，从⽽提⾼⽹络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表根据数据包的源IP地址定义规则，进⾏数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、⽬的IP、源端⼝、⽬的端⼝、协议来定义规则，进⾏数据包的过滤。

IP ACL的配置⽅式有两种：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

五、实现功能实现⽹段间互相访问的安全控制。

六、实验设备2台路由器、1台三层交换机、3台PC机，3条直连线、1条串⼝线；或者增加3台交换机和3条直连线。

七、实验拓扑⼋、实验步骤1、Rrouter0的基本配置Router# conf tRouter(config)#hostname R1R1(config)# int f 0/1R1(config-if)# ip addr 172.16.1.1 255.255.255.0R1(config-if)# no shutdownR1(config-if)# int f 0/0R1(config-if)# ip addr 172.16.2.1 255.255.255.0R1(config-if)# no shutdownR1(config-if)# int s 0/1/0R1(config-if)# ip addr 172.16.3.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)# no shutdown测试：R1#show ip int brief ！观察接⼝状态2、Rrouter1的基本配置Router(config)#hostname R2R2(config-if)# int f 0/0R2(config-if)# ip addr 172.16.4.1 255.255.255.0R2(config-if)# no shutdownR2(config-if)# int s 0/1/0R2(config-if)# ip addr 172.16.3.2 255.255.255.0R2(config-if)# no shutdown测试：R2#show ip int brief ！观察接⼝状态3、配置路由配置静态路由或动态路由都可以，这⾥以静态路由为例。

实训报告实验名称访问控制列表课程名称计算机网络1.实验目的掌握访问控制列表的概念。

能对路由器进行访问控制列表的设置。

2.实验环境（1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。

（2）在计算机上安装有windows xp 的操作系统，并且安装有Cisco Packet Tracer软件。

3.实训规划和拓扑图规划：4、实验要求：要求：a、Lan 1 不能访问lan 2 .b、Lan 1 能访问lan 3 不能访问lan 4.c、Lan 2能访问lan 4 不能访问lan 3.5、实验步骤：（1）按照规划，构建拓扑图。

（标注好各个接口，和ip地址）（2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip 2.通过show ip route是否学到全网的路由。

R1结果如下：R2结果如下：（3）配置访问控制列表：针对要求：Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)在R1：access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR1的接口f0/1: ip access-group 1 out针对要求：Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照)在R2 :access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR2.f0/1 ip access-group out针对要求：Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照)在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255aceess-list 2 permit anyR2.f0/0:ip access-group 2 out6、实验结果：（1）针对要求：Lan 1 不能访问lan 2. 测试有以下结果：pc1 ping pc2不通，符合要求1，如下图所示。

实验6 访问控制列表6.1 标准访问控制列表标准ACL 的表号取值范围是1~99。

标准ACL 语句格式为：access-list 表号 {permit | deny} {地址 通配符掩码 | any | host 地址} 表号相同的语句组成一个ACL 。

把ACL 应用在设备接口上：interface 接口ip access-group 表号 {in | out} 本部分内容可以在Boson 模拟器上练习。

拓扑结构：本网络模拟一个场景：192.168.1.0子网是一个资源子网，它只允许来自工作场所的主机访问。

工作场所有多个子网，IP 地址使用172.16.#.#格式定义。

其余格式的IP 地址均为休闲场所。

说明：在一般情况下，划分子网多使用三层交换机，但Boson 中的3550交换机不支持访问控制列表，所以此处使用路由器。

R3620路由器是一个模块化路由器，它的接口名为E0/0、E0/1、E0/2、E0/3。

1、配置R3620：各接口都配置IP 地址。

（注：路由器接口IP 地址的最后一个数均为1。

）PC2 172.16.1.2/24PC3 172.16.2.2/24PC4 10.1.1.2/242、配置各计算机的IP地址、子网掩码、默认网关。

（此时各PC机都可以通信。

）3、定义一个标准ACL：源地址为172.16.#.#格式的主机可以访问192.168.1.0/24网络中的主机，其它不能访问。

4、验证结果：PC2、PC3可以访问PC1，PC4不能访问PC1，但可以访问PC2和PC3。

常见问题：(1) 如果配置ACL时把参数写错了，或语句顺序有错误，修改时需要删除整个ACL，再重新定义。

删除ACL的方法是：R3620(config)# no access-list 表号说明：Boson不支持删除ACL，所以，在Boson中只能重装拓扑图，重新配置。

(2) 如果应用ACL时，选错了接口，需要删除它在接口上的定义，删除方法是：R3620(config)# interface 接口R3620(config-if)# no ip access-group 表号{in | out}6.2 扩展访问控制列表扩展ACL的表号取值范围是100~199。

IP访问控制列表配置一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface fastethernet 0/1 注释：fa 1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第3步：应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0 注释：fa 0第4步：验证测试在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

CCNA 基础实验：使用访问控制列表实验 6：使用访问控制列表 SPOTO CCNA 实验拓扑：实验设备：四台 Cisco2501 路由器，R11 的 S0 连接 R22 的 S0，R33 和 R44 通过 E0 连 接 R11 和 R22 的 E0 口。

路由器基本配置： R11#conf t R11(config)#line vty 0 4 R11(config-line)#pass spoto R11(config-line)#login R11(config-line)#int e0 R11(config-if)#ip add 192.168.10.1 255.255.255.0 R11(config-if)#no shut R11(config-if)#int s0 R11(config-if)#ip add 192.168.20.1 255.255.255.0 R11(config-if)#no shut R11(config-if)#router eigrp 10 R11(config-router)#netw 192.168.10.0 R11(config-router)#netw 192.168.20.0 R22(config)#line vty 0 4 R11(config-line)#pass spoto R11(config-line)#login R11(config-line)#int s0 R11(config-line)#ip add 192.168.20.2 255.255.255.0R11(config-line)#no shut R11(config-line)#clock rate 64000 R11(config-line)#int e0 R11(config-if)#ip add 192.168.30.1 255.255.255.0 R11(config-if)#no shut R11(config-if)#router eigrp 10 R11(config-router)#netw 192.168.20.0 R11(config-router)#netw 192.168.30.0 R33(config)#hostname PC2 PC2(config)#no ip routing PC2(config)#line vty 0 4 PC2(config-line)#pass spoto PC2(config-line)#login PC2(config-line)#int e0 PC2(config-if)#ip add 192.168.30.2 255.255.255.0 PC2(config-if)#no shut PC2(config-if)#exit PC2(config)#ip default-gateway 192.168.30.1 R44(config)#host PC1 PC1(config)#no ip routing PC1(config)#line vty 0 4 PC1(config-line)#pass spoto PC1(config-line)#login PC1(config-line)#int e0 PC1(config-if)#ip add 192.168.10.2 255.255.255.0 PC1(config-if)#no shut PC1(config-if)#exit PC1(config)#ip default-gateway 192.168.10.1 PC1(config)#end PC1#ping 192.168.30.2 //验证路由协议。

路由器标准IP访问控制列表(ACLS)配置实验四川兴科城市交通技工学校---胡老师一、实验目的1、理解标准IP访问控制列表的原理及功能；2、掌握编号的标准IP访问控制列表的配置方法；二、实验目标假定四川兴科城市交通技工学校有“学工教务部“、“财务部“”和“招生部“，分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，学校领导要求招生部门不能对财务部进行访问，但学工教务部可以对财务部进行访问。

PC1代表学工教务部的主机、PC2代表招生部的主机、PC3代表财务部的主机。

三、技术实现规则1、ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。

ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；2、IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；3、标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；4、扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；5、IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；四、实验方法1、新建Packet Tracer拓扑图2、路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

3、配置路由器接口IP地址。

4、在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

5、在R1上编号的IP标准访问控制6、将标准IP访问控制应用到接口上。

7、验证主机之间的互通性。

五、实验设备PC 3台；Router-PT 2台；交叉线；DCE串口线；六、实验详细配置拓扑结构1、PC1：IP: 172.16.1.2Submask: 255.255.255.0Gageway: 172.16.1.12、PC2：IP: 172.16.2.2Submask: 255.255.255.0Gageway: 172.16.2.13、PC3：IP: 172.16.4.2Submask: 255.255.255.0Gageway: 172.16.4.14、Router01.//配置Router0联通的端口2.Router>en3.Router#conf t4.Router(config)#inter fa 0/05.Router(config-if)#ip address 172.16.1.1 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 1/08.Router(config-if)#ip address 172.16.2.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#inter s 2/011.Router(config-if)#ip address 172.16.3.1 255.255.255.012.Router(config-if)#no shutdown13.Router(config-if)#clock rate 6400014.Router(config-if)#exit5、Router11.//配置Router1联通的端口2.Router>en3.Router#conf t4.Router(config)#inter serial 2/05.Router(config-if)#ip address 172.16.3.2 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 0/08.Router(config-if)#ip address 172.16.4.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#exit6、Router0路由转发1.//配置Router0路由IP转发表，使路由转发来自跃点172.16.3.2的172.16.4.0目标段数据2.Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.27、Router1路由转发1.//配置Router1路由IP转发表，使路由转发来自跃点172.16.3.1的所有IP段的数据2.Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1七、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (success)测试成功！八、Router0准入配置1.//配置Router的IP准入2.Router(config）#3.Router(config-std-nacl)# ip access-list standard cisco //配置准入口令“cisco”4.Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //设置准入IP5.Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //设置拒接接入IP6.Router(config-std-nacl)# conf t7.Router(config)# int s 2/08.Router(config-if)# ip access-group cisco out //向serial2/0 接口发布准入口令九、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)上述实验过程测试通过，大家放心使用。

网络互连设备实验报告
实验
题目：标准IP访问控制列表配置
姓名学号：2011年12月1日
试验目的：
实验目标：理解标准IP访问控制列表原理及功能。

实验背景：
你是公司的网络管理员，公司的经理部，财务部和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部不能对财务部进行访问，但经理部能对财务部进行访问。

Pc1代表经经理部的主机，Pc2代表经销售部的主机，Pc3代表经财务部的主机。

技术原理：IP ACL分为两种：标准访问表：控制基于网络地址的信息流，且只允许过滤源地址。

扩展访问表：通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址，目的地址和上层应用数据。

操作步骤：
创建packet tracer拓扑图
1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

2）配置路由器IP地址
3）在路由器上配置静态路由协议，让三台pc能互相ping通，因为只有在互通的前提下才能涉及到访问控制列表。

4）在R上配置编号的IP标准访问控制。

5）将标准IP访问列表应用到接口上。

6）验证主机间的互通性。

Pc2 ping pc3:
Pc1 ping pc2: Pc1 ping pc3:
结果：
实验成功
体会：
成绩：
董大钧2011年月日。