实验五：IP访问控制列表和NAT

路由器需要添加NM-2FE2W（左）和WIC-2T（右）PC1:172.16.1.5 255.255.255.0 172.16.1.1PC2:172.16.2.8 255.255.255.0 172.16.2.1PC3:172.16.4.22 255.255.255.0 172.16.4.2R1的配置（1）对各PC机和路由器的相应端口做基本配置(DCE 端在R1,时钟频率64000).Router>enRouter#conf tRouter(config)#ho R1R1(config)#interface s0/2R1(config-if)#clock rate 64000R1(config-if)#ip address 172.16.3.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#interface f1/0R1(config-if)#ip address 172.16.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#interface f1/1R1(config-if)#ip address 172.16.2.1 255.255.255.0R1(config-if)#no shutR1(config)#ip route 172.16.4.0 255.255.255.0 Serial0/2R2的配置Router>enRouter#conf tRouter(config)#interface s0/2Router(config-if)#ip address 172.16.3.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#interface f1/0Router(config-if)#ip address 172.16.4.2 255.255.255.0Router(config-if)#no shut（2）在路由器上配置静态路由，让三台PC 能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

《华为技术认证HCNA网络技术实验指南》配置HCNA网络技术实验指南主要包括以下几个方面的内容：1.实验环境准备：实验指南给出了实验所需的软硬件环境配置要求，包括操作系统要求、硬件设备要求等，帮助学员搭建一个符合实验要求的实验环境。

2.实验一：基本网络配置：这个实验主要是介绍了网络设备的基本配置，包括设备初始化、设备密码设置、设备IP地址设置、设备接口配置等。

3.实验二：交换机配置：这个实验主要是介绍了交换机的基本配置，包括VLAN的配置、端口的配置、交换机之间的链路聚合（LAG）配置等。

4.实验三：静态路由配置：这个实验主要是介绍了静态路由的配置，包括路由表的配置、默认路由的配置、静态路由的配置等。

5.实验四：网络服务配置：这个实验主要是介绍了网络服务的配置，包括DHCP服务的配置、DNS服务的配置、NAT服务的配置等。

6.实验五：网络安全配置：这个实验主要是介绍了网络安全的配置，包括ACL（访问控制列表）的配置、ARP防护的配置、端口安全的配置等。

7.实验六：无线网络配置：这个实验主要是介绍了无线网络的配置，包括基本的无线网络配置、无线网络安全配置等。

通过完成这些实验，学员可以全面掌握华为网络设备的基本配置和网络服务的配置，培养实际操作的能力和解决问题的能力。

此外，《华为技术认证HCNA网络技术实验指南》还提供了详细的实验步骤、截图和实验报告的写作指导，方便学员进行实验记录和实验报告的撰写。

总之，华为技术认证HCNA网络技术实验指南是一本很好的教材，可以帮助学员全面提高网络技术方面的实际操作能力和问题解决能力，对于准备参加华为HCNA认证考试的学员来说，是一本非常有价值的指导书。

访问控制列表实验报告介绍访问控制列表（Access Control List）是一种用于网络安全的重要工具。

它用于限制用户或设备对网络资源的访问权限，以保护网络的安全和保密性。

在本实验中，我们将学习如何配置和管理访问控制列表，并通过实际的示例来演示ACL的工作原理和应用。

实验目标本实验的目标是帮助学生理解访问控制列表的基本概念和配置方法。

具体而言，我们将关注以下方面：1.访问控制列表的作用和用途；2.如何配置和管理访问控制列表；3.不同类型的访问控制列表及其应用场景。

实验步骤步骤一：了解访问控制列表访问控制列表是一种在路由器或交换机上配置的规则集合，用于控制网络流量的访问权限。

它基于源地址、目的地址、协议类型等条件来限制特定用户或设备对网络资源的访问权限。

ACL可以分为两种类型：标准ACL和扩展ACL。

标准ACL仅使用源地址作为匹配条件，而扩展ACL可以使用更多的条件来进行匹配，例如源地址、目的地址、协议类型、端口号等。

步骤二：配置访问控制列表在这个实验中，我们将使用一台路由器进行ACL的配置示例。

以下是一些基本的ACL配置命令：Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255上述命令创建了一个标准ACL，允许所有源地址为192.168.0.0/16的流量通过。

Router(config)# access-list 2 permit tcp any host 192.168.1.1 eq 80上述命令创建了一个扩展ACL，允许任何源地址的TCP流量通过到目的地址为192.168.1.1、目的端口号为80的主机。

步骤三：应用访问控制列表完成ACL的配置后，我们需要将其应用到实际的接口或接口组上。

以下是一些基本的ACL应用命令：Router(config-if)# ip access-group 1 in上述命令将ACL 1应用到接口的入方向，用于限制进入该接口的流量。

访问控制列表实验ACL可以限制网络流量、提高网络性能，为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。

ACL可以限制网络流量、提高网络性能，为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。

用户需要配置路由协议，以下配置的是RIP Version1的，也可以配置别的，如EIGRP或OSPF。

一、实验拓扑图二、实验要求要求内网可以主动访问外网，但是外网不能主动访问内网，从而有效保护内网。

三、实验配置1、配置路由器，并在R1、R3上配置默认路由确保IP连通性。

R1(config)#interface s0/0/0R1(config)#ip address 192.168.12.1 255.255.255.0R1(config)#no shutdownR1(config)#interface g0/0R1(config)#ip address 172.16.1.1 255.255.255.0R1(config)#no shutdownR1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2R2(config)#interface s0/0/0R2(config)#ip address 192.168.12.2 255.255.255.0R2(config)#no shutdownR2(config)#interface s0/0/1R2(config)#ip address 202.210.23.2 255.255.255.0R2(config)#no shutdownR3(config)#interface loopback 0R3(config)#ip address 3.3.3.3 255.255.255.0R3(config)#no shutdownR3(config)#interface s0/0/1R3(config)#ip address 202.210.23.3 255.255.255.0R3(config)#no shutdownR3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.22、在路由器R2上配置自反ACLR2(config)#ip access-list extended ACLOUTR2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL R2(config-ext-nacl)#permit udp any any reflect REFR2(config)#ip access-list extended ACLINR2(config-ext-nacl)#evaluate REF //评估反射R2(config)#int s0/0/1R2(config-if)#ip access-group ACLOUT outR2(config-if)#ip access-group ACLIN inPS：(1)、自反ACL永远是permit的;(2)、自反ACL允许高层Session信息的IP包过滤;(3)、利用自反ACL可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流量，从而可以更好地保护内部网络;(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的，并且当Session 结束条目就删除;(5)、自反ACL不是直接被应用到某个接口下的，而是嵌套在一个扩展命名访问列表下的。

IP访问控制列表（ACL）实验【实验目的】掌握网络交换设备的标准IP访问列表规则及配置。

1.准备知识IP ACL(IP访问控制列表或IP访问列表)，是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。

从而提高网络可管理性和安全性。

类似于包过滤防火墙的功能。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用方向分为：入口应用和出口应用。

入口应用是对由外部经该接口进入路由器的数据包进行过滤。

出口应用是对从路由器接口向外转发数据时的数据包过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

2.实验模拟环境和拓扑图在3760三层交换机上连着学校的服务器，另外还连接着学生宿舍楼和学校的办公区，学校规定学生宿舍楼只能访问学校的Web服务器，不能访问办公区。

办公区可以访问学校的Web和FTP服务器。

先配置好VLAN 10中的Web/FTP服务器。

3.配置命名的标准IP访问列表根据以上要求，配置步骤如下：（1）配置三个VLAN：Switch(config)#vlan 10Switch(config-vlan)#name serverSwitch(config)#vlan 20Switch(config-vlan)#name teachersSwitch(config)#vlan 30Switch(config-vlan)#name students（2）将交换机端口加入相对应的VLAN：Switch(config)#interface f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#exitSwitch(config)#interface f0/3Switch(config-if)#switchport access vlan 30Switch(config-if)#exit（3）为每个VLAN配置IP地址：Switch(config)#int vlan10Switch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip add 192.168.20.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 30Switch(config-if)#ip add 192.168.30.1 255.255.255.0Switch(config-if)#exit（4）配置三台主机：将三台主机分别插入三个VLAN的端口，并为主机配置好IP地址和默认网关地址。

访问控制列表实验报告《访问控制列表实验报告》摘要：本实验旨在通过实际操作，了解和掌握访问控制列表（ACL）的基本概念和应用。

通过对ACL的配置和管理，实现对网络资源的访问控制和权限管理。

本文将详细介绍实验的目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行总结和分析。

1. 实验目的访问控制列表（ACL）是一种用于控制网络资源访问权限的重要机制，通过ACL可以对网络流量进行过滤和控制，保护网络安全。

本实验旨在通过实际操作，掌握ACL的基本概念和配置方法，实现对网络资源的访问控制和权限管理。

2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网，通过路由器进行网络流量的控制和管理。

实验中使用了Cisco路由器，并配置了基本的网络环境和访问控制列表。

3. 实验步骤（1）配置路由器基本网络环境，包括IP地址、子网掩码等；（2）创建访问控制列表，并定义访问控制规则；（3）将访问控制列表应用到路由器的接口上，实现对网络流量的控制和管理；（4）测试ACL的效果，验证ACL对网络流量的过滤和控制。

4. 实验结果通过实验操作，成功创建了访问控制列表，并将其应用到路由器的接口上。

在测试过程中，发现ACL可以有效地对网络流量进行过滤和控制，实现了对特定IP地址或端口的访问限制。

5. 问题与解决在实验过程中，遇到了一些配置和测试中的问题，如ACL规则的定义和应用不当导致网络流量无法正常通过等。

通过查阅资料和与实验指导老师讨论，最终找到了解决方案，并成功完成了实验目标。

6. 总结与展望本次实验通过实际操作，加深了对访问控制列表的理解和应用，掌握了ACL的配置和管理技术。

ACL作为网络安全的重要手段，对于保护网络资源和数据具有重要意义。

未来，可以进一步学习和探索ACL在实际网络环境中的应用，提高网络安全性和管理效率。

通过本次实验，对访问控制列表有了更深入的了解，掌握了其基本配置和应用方法，为今后的网络管理和安全工作奠定了基础。

【实验拓扑】实验时，按照拓扑进行网络的连接，注意主机和路由器连接所用的端口。

【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置路由器模块右键点击路由器RouteA图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

《计算机网络工程》实验指导五：IP访问控制列表配置实验右键点击路由器RouteB图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。

第3页/ 共13页（4）按照网络拓扑图连接设备。

步骤2.在CNS3中点击显示各端口信息，分别对其标注配置信息。

源设备源接口介质类型目标接口目标设备Route A(Route A )S0/0 Serial (Route B )S0/0 Route BRoute A f1/0 Fastethernet NIO-UDP PC1Route A f2/0 Fastethernet NIO-UDP PC3Route B f1/0 Fastethernet NIO-UDP PC2 步骤3、路由器Route A上的基本配置RouteA>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA //路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdown《计算机网络工程》实验指导五：IP访问控制列表配置实验RouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0RouteA (config-if)#clock rate 64000 //配置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 //配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。

【网络拓扑结构图】【实验步骤】1、配置设备接口模块各设备的模块配置及连接能力说明如下表2、设备连接说明3、3.1 RouterA路由器参数配置<配置命令>RouterA>enRouterA#conf tEnter configuration commands, one per line. End with CNTL/Z.RouterA(config)#int fa0/0RouterA(config-if)#ip add 192.168.3.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#*Mar 1 00:11:16.345: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up*Mar 1 00:11:17. 345: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouterA(config)#int fa0/1RouterA(config-if)#ip add 192.168.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#in*Mar 1 00:11:52.138: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up*Mar 1 00:11:53.138: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouterA(config)#int s0/1RouterA(config-if)#ip add 10.1.2.1 255.255.255.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#*Mar 1 00:12:37.923: %LINK-3-UPDOWN: Interface Serial0/1, changed state to upRouterA(config)#*Mar 1 00:12:38.923: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to upRouterA(config-if)#exiRouterA(config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2RouterA(config)#exiRouterA#*Mar 1 00:14:26.167: %SYS-5-CONFIG_I: Configured from console by consoleRouterA#*Mar 1 00:15:27.575: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up<输出配置结果>RouterA#show ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.3.1 YES manual up up Serial0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.1.1 YES manual up up Serial0/1 10.1.2.1 YES manual up up Serial0/2 unassigned YES unset administratively down down Serial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down down Serial1/3 unassigned YES unset administratively down down RouterA#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsC 10.1.2.0 is directly connected, Serial0/1C 192.168.1.0/24 is directly connected, FastEthernet0/1S 192.168.2.0/24 [1/0] via 10.1.2.2C 192.168.3.0/24 is directly connected, FastEthernet0/03.2RouterB路由器参数配置<配置命令>RouterB>enRouterB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouterB(config)#int fa0/1RouterB(config-if)#ip add 192.168.2.1 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#exiRouterB(config)#*Mar 1 00:14:54.354: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up*Mar 1 00:14:55.354: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouterB(config)#int s0/1RouterB(config-if)#ip add 10.1.2.2 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#*Mar 1 00:15:23.324: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up*Mar 1 00:15:24.324: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to upRouterB(config-if)#exiRouterB(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1RouterB(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.1RouterB(config)#exiRouterB#<输出配置结果>RouterB#show ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset administratively down downSerial0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.2.1 YES manual up up Serial0/1 10.1.2.2 YES manual up up Serial0/2 unassigned YES unset administratively down down Serial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down down Serial1/3 unassigned YES unset administratively down down RouterB#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsC 10.1.2.0 is directly connected, Serial0/1S 192.168.1.0/24 [1/0] via 10.1.2.1C 192.168.2.0/24 is directly connected, FastEthernet0/1S 192.168.3.0/24 [1/0] via 10.1.2.14、配置（虚拟）主机参数5测试三台主机PC1、PC2、PC3之间的连通性，保证它们之间能够相互访问。

访问控制列表(acl)实验报告访问控制列表（ACL）实验报告引言访问控制列表（ACL）是网络安全中常用的一种技术，它可以帮助网络管理员控制用户或者系统对资源的访问权限。

为了更好地了解ACL的工作原理和应用，我们进行了一系列的实验，并撰写了本报告，以总结实验结果并分享我们的经验。

实验目的本次实验的目的是探索ACL的基本概念、配置方法和应用场景，通过实际操作来加深对ACL的理解，并验证ACL在网络安全中的重要性和作用。

实验内容我们首先学习了ACL的基本概念和分类，包括标准ACL和扩展ACL。

接着，我们使用网络模拟软件搭建了一个简单的网络环境，并在路由器上配置了ACL，限制了不同用户对特定资源的访问权限。

我们还进行了一些模拟攻击和防御的实验，比如尝试绕过ACL进行非法访问，以及通过ACL阻止恶意访问。

实验结果通过实验，我们深入了解了ACL的配置方法和工作原理。

我们发现，ACL可以有效地限制用户或系统对网络资源的访问，提高了网络的安全性。

同时，ACL也能够帮助网络管理员更好地管理网络流量和资源利用，提高网络的性能和效率。

实验结论ACL是网络安全中一种重要的访问控制技术，它能够有效地保护网络资源不受未经授权的访问和攻击。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用，认识到ACL在网络安全中的重要性。

我们将继续学习和探索ACL的更多应用场景，并将ACL技术应用到实际的网络安全实践中，保护网络资源的安全和完整性。

总结通过本次实验，我们对ACL有了更深入的了解，并且掌握了ACL的基本配置方法和应用技巧。

我们相信ACL将在未来的网络安全中发挥越来越重要的作用，我们将继续学习和研究ACL技术，为网络安全做出更大的贡献。

实训报告实验名称访问控制列表课程名称计算机网络1.实验目的掌握访问控制列表的概念。

能对路由器进行访问控制列表的设置。

2.实验环境（1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。

（2）在计算机上安装有windows xp 的操作系统，并且安装有Cisco Packet Tracer 软件。

3.实训规划和拓扑图规划：4、实验要求：要求：a、Lan 1 不能访问lan 2 .b、Lan 1 能访问lan 3 不能访问lan 4.c、Lan 2能访问lan 4 不能访问lan 3.5、实验步骤：（1）按照规划，构建拓扑图。

（标注好各个接口，和ip地址）（2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip 2.通过show ip route是否学到全网的路由。

R1结果如下：R2结果如下：（3）配置访问控制列表：针对要求：Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)在R1：access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR1的接口f0/1: ip access-group 1 out针对要求：Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照)在R2 :access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR2.f0/1 ip access-group out针对要求：Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照)在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255aceess-list 2 permit anyR2.f0/0:ip access-group 2 out6、实验结果：（1）针对要求：Lan 1 不能访问lan 2. 测试有以下结果：pc1 ping pc2不通，符合要求1，如下图所示。

访问控制列表acl实验报告访问控制列表（ACL）实验报告引言在计算机网络中，访问控制列表（ACL）是一种用于控制网络资源访问权限的重要技术。

通过ACL，网络管理员可以限制特定用户或设备对网络资源的访问，从而提高网络安全性和管理效率。

为了深入了解ACL的工作原理和应用场景，我们进行了一系列的ACL实验，并撰写了本实验报告。

实验目的本次实验旨在通过搭建网络环境和配置ACL规则，探究ACL在网络安全管理中的作用和应用。

实验环境我们搭建了一个简单的局域网环境，包括一台路由器和多台主机。

路由器上运行着一个基于ACL的访问控制系统，可以对主机之间的通信进行控制。

实验步骤1. 配置ACL规则：我们首先在路由器上配置了一系列ACL规则，包括允许或拒绝特定主机的访问请求，以及限制特定协议或端口的通信。

2. 实施ACL控制：接下来，我们模拟了不同的网络访问场景，例如试图访问被ACL规则拒绝的资源、尝试使用被ACL规则限制的协议进行通信等，以验证ACL规则的有效性和准确性。

3. 分析实验结果：通过观察实验过程中的网络通信情况和ACL规则的生效情况，我们对ACL的工作原理和应用进行了深入分析和总结。

实验结果在实验过程中，我们发现ACL可以有效地限制不同主机之间的通信，保护网络资源的安全。

通过合理配置ACL规则，我们可以实现对特定用户或设备的访问控制，从而提高网络的安全性和管理效率。

结论ACL作为一种重要的网络安全技术，在实验中展现出了其强大的功能和应用价值。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用场景，为今后的网络安全管理工作提供了重要的参考和借鉴。

ACL将继续在网络安全领域发挥重要作用，我们也将继续深入研究和应用ACL技术，为网络安全做出更大的贡献。

实验五、访问控制列表5.1实验目的1．熟悉路由器的包过滤的核心技术：访问控制列表。

2. 掌握访问控制列表的相关知识。

3. 掌握访问控制列表的应用，灵活设计防火墙。

5.2 设备需求(1) 2台路由器。

(2) 1～2台交换机(可选)。

(2) 2～5台PC机。

(3) 2根Console控制台电缆(一端接交换机Console端口，一端接PC机串口)。

(4) 2根V.35电缆。

5.3 实验环境图5-1 访问控制列表配置实验5.4实验内容和步骤1. 基本访问控制列表(序号为2000～2999)基本访问控制列表只使用数据包的源地址来判断数据包，所以它只能以源地址来区分数据包，源相同而目的不同的数据包也只能采取同一种策略。

所以利用标准访问控制列表，我们只能粗略的区别对待网内的用户群，那些主机能访问外部网，那些不能。

在实验环境中，我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络，则只需在路由器上进行如下配置即可。

(1) 配置访问控制列表在路由器RTA上配置：进入超级终端，进入路由器的系统视图。

[RTA] firewall enable[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.0.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.1 24[RTA-Serial5/0] quit[RTA] rip[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.0.0[RTA-rip-1] quit允许IP地址是202.0.0.2的特定主机访问外部网络，而禁止该网段的其他主机访问外部网络。

[RTA] acl number 2001[RTA-acl-basic-2001] rule permit source 202.0.0.2 0.0.0.0[RTA-acl-basic-2001] rule deny source 202.0.0.2 0.0.0.255[RTA-acl-basic-2001] quit[RTA] interface Serial5/0[RTA-Serial5/0] firewall packet-filter 2001 outbound[RTA] display ip routing-tableRouting Tables: PublicDestinations : 8 Routes : 8Destination/Mask Proto Pre Cost NextHop Interface127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.0/24 Direct 0 0 192.0.0.1 S5/0192.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.2/32 Direct 0 0 192.0.0.2 S5/0202.0.0.0/24 Direct 0 0 202.0.0.1 GE0/0202.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0202.0.1.0/24 RIP 100 1 192.0.0.2 S5/0在路由器RTB上配置：[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.1.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.2 24[RTA-Serial5/0] quit[RTA] rip // 启动路由协议[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.1.0[RTA-rip-1] quit(2) 验证访问控制列表的作用在PCA主机(IP地址是：202.0.0.2)的命令窗口，Ping PCD主机(IP地址是：202.0.1.2)：Ping 202.0.1.2应该能Ping 通，而在主机PCB(IP地址是：202.0.0.3，若实验中仅有2台PC机，则需将PCA 主机的IP地址改为202.0.0.3)的命令窗口，Ping PCD主机，则不能Ping 通。

ip访问控制列表配置实验报告实验报告课程名称⽹络设备与配置实验项⽬ ip访问控制列表的配置专业班级指导教师姓名学号成绩⽇期⼀、实验⽬的掌握路由器上编号的标准IP访问列表规则及配置。

⼆、实验内容1、连线；2、路由器基本配置；3、路由配置；4、IP标准ACL配置；5、测试。

三、实验背景某公司组建⾃⼰的企业⽹，在企业⽹内有公司的财务处、经理部和销售部分属不同的3个⽹段，三个部门之间⽤路由器进⾏信息传递。

为了安全起见，公司领导要求销售部门不能对财务部门进⾏访问，但经理部可以对财务部进⾏访问。

172.16.1.0⽹段代表经理部主机，172.16.2.0⽹段代表销售部主机，172.16.4.0⽹段代表财务部主机。

四、技术原理IP ACL（IP访问控制列表）是实现流经路由器或交换机的数据包根据⼀定规则进⾏过滤，从⽽提⾼⽹络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表根据数据包的源IP地址定义规则，进⾏数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、⽬的IP、源端⼝、⽬的端⼝、协议来定义规则，进⾏数据包的过滤。

IP ACL的配置⽅式有两种：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

五、实现功能实现⽹段间互相访问的安全控制。

六、实验设备2台路由器、1台三层交换机、3台PC机，3条直连线、1条串⼝线；或者增加3台交换机和3条直连线。

七、实验拓扑⼋、实验步骤1、Rrouter0的基本配置Router# conf tRouter(config)#hostname R1R1(config)# int f 0/1R1(config-if)# ip addr 172.16.1.1 255.255.255.0R1(config-if)# no shutdownR1(config-if)# int f 0/0R1(config-if)# ip addr 172.16.2.1 255.255.255.0R1(config-if)# no shutdownR1(config-if)# int s 0/1/0R1(config-if)# ip addr 172.16.3.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)# no shutdown测试：R1#show ip int brief ！观察接⼝状态2、Rrouter1的基本配置Router(config)#hostname R2R2(config-if)# int f 0/0R2(config-if)# ip addr 172.16.4.1 255.255.255.0R2(config-if)# no shutdownR2(config-if)# int s 0/1/0R2(config-if)# ip addr 172.16.3.2 255.255.255.0R2(config-if)# no shutdown测试：R2#show ip int brief ！观察接⼝状态3、配置路由配置静态路由或动态路由都可以，这⾥以静态路由为例。

访问控制列表实验报告访问控制列表实验报告引言：在网络安全领域，访问控制是一项至关重要的任务。

为了保护网络资源免受未经授权的访问和恶意攻击，许多组织和个人采用了访问控制列表（ACL）作为一种有效的安全措施。

本实验报告将介绍ACL的概念、分类和实验过程，并对实验结果进行分析和总结。

一、ACL的概念和分类访问控制列表是一种用于限制或允许特定用户或主机对网络资源进行访问的策略。

它可以根据源IP地址、目标IP地址、协议类型和端口号等条件进行过滤和控制。

根据应用场景和实现方式的不同，ACL可以分为两种类型：基于网络层的ACL和基于应用层的ACL。

基于网络层的ACL是在网络设备（如路由器、防火墙）上实现的，它通过检查数据包的源IP地址和目标IP地址来决定是否允许传输。

这种ACL通常用于控制网络流量，可以提高网络性能和安全性。

基于应用层的ACL是在应用程序或操作系统中实现的，它通过检查数据包的协议类型和端口号来决定是否允许传输。

这种ACL通常用于控制特定应用程序的访问权限，例如Web服务器、FTP服务器等。

二、实验过程为了深入理解ACL的实际应用和效果，我们进行了一系列实验。

首先，我们在一台路由器上配置了基于网络层的ACL，限制了某个特定IP地址的访问权限。

然后，我们使用另一台主机尝试从被限制的IP地址访问目标主机，观察ACL的效果。

实验结果显示，当我们尝试从被限制的IP地址访问目标主机时，数据包被路由器拦截并丢弃，无法成功建立连接。

这证明ACL能够有效地阻止未经授权的访问，提高了网络的安全性。

接下来，我们进行了基于应用层的ACL实验。

我们在一台Web服务器上配置了ACL，限制了某个特定端口的访问权限。

然后，我们使用另一台主机尝试从被限制的端口访问Web服务器，观察ACL的效果。

实验结果显示，当我们尝试从被限制的端口访问Web服务器时，连接被拒绝，无法获取到Web页面。

这再次证明了ACL的有效性，它可以帮助我们控制特定应用程序的访问权限，保护网络资源的安全。

IP访问控制列表配置一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface fastethernet 0/1 注释：fa 1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第3步：应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0 注释：fa 0第4步：验证测试在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

访问控制列表ACL和NAT地址转换示意图一、多对一：hostname Routerip dhcp excluded-address 192.168.1.100ip dhcp excluded-address 192.168.1.254ip dhcp pool 1network 192.168.1.0 255.255.255.0default-router 192.168.1.254dns-server 58.2.2.100interface GigabitEthernet0/0ip address 58.1.1.2 255.255.255.0ip nat outsideinterface GigabitEthernet0/1ip address 192.168.1.254 255.255.255.0ip nat insideip nat inside source list 2 interface GigabitEthernet0/0 overload ip classlessip route 0.0.0.0 0.0.0.0 58.1.1.1access-list 2 permit any查看命令（有match值说明匹配成功）Router#sh ip access-listsStandard IP access list 210 permit any (14 match(es))二、一对一：hostname Routerip dhcp excluded-address 192.168.1.100ip dhcp excluded-address 192.168.1.254ip dhcp pool 1network 192.168.1.0 255.255.255.0default-router 192.168.1.254dns-server 58.2.2.100interface GigabitEthernet0/0ip address 58.1.1.2 255.255.255.0ip nat outsideinterface GigabitEthernet0/1ip address 192.168.1.254 255.255.255.0ip nat insideip nat inside source list 2 interface GigabitEthernet0/0 overload ip classlessip route 0.0.0.0 0.0.0.0 58.1.1.1ip nat inside source static 192.168.1.100 58.1.1.3（和多对一的区别）查看命令Router#sh ip nat translationsPro Inside global Inside local Outside local Outside globaludp 58.1.1.3:53 192.168.1.100:53 58.2.2.101:1032 58.2.2.101:1032 --- 58.1.1.3 192.168.1.100 --- ---tcp 58.1.1.2:1025 192.168.1.2:1025 58.2.2.100:80 58.2.2.100:80 tcp 58.1.1.2:1026 192.168.1.2:1026 58.2.2.100:80 58.2.2.100:80 tcp 58.1.1.2:1027 192.168.1.2:1027 58.2.2.100:80 58.2.2.100:80 tcp 58.1.1.2:1028 192.168.1.1:1028 58.2.2.100:80 58.2.2.100:80 tcp 58.1.1.2:1029 192.168.1.1:1029 58.2.2.100:80 58.2.2.100:80 tcp 58.1.1.2:1030 192.168.1.1:1030 58.2.2.100:8058.2.2.100:80三、端口映射：hostname Routerip dhcp excluded-address 192.168.1.100ip dhcp excluded-address 192.168.1.254ip dhcp pool 1network 192.168.1.0 255.255.255.0default-router 192.168.1.254dns-server 58.2.2.100interface GigabitEthernet0/0ip address 58.1.1.2 255.255.255.0ip nat outsideinterface GigabitEthernet0/1ip address 192.168.1.254 255.255.255.0ip nat insideip nat inside source list 2 interface GigabitEthernet0/0 overload ip classlessip route 0.0.0.0 0.0.0.0 58.1.1.1ip nat inside source static 192.168.1.100 58.1.1.3Router(config)#ip nat inside source static tcp 192.168.1.100 80 58.1.1.2 8080验证的时候注意端口即：http://58.1.1.2:8080四、限制远程登录telnet主机Router(config)#access-list 1 permit 192.168.1.254Router(config)#line vty 0 4Router(config-line)#access-class 1 inRouter(config-line)#login localRouter(config-line)#exitRouter(config)#username Cisc0 password Cisc0。

路由器标准IP访问控制列表(ACLS)配置实验四川兴科城市交通技工学校---胡老师一、实验目的1、理解标准IP访问控制列表的原理及功能；2、掌握编号的标准IP访问控制列表的配置方法；二、实验目标假定四川兴科城市交通技工学校有“学工教务部“、“财务部“”和“招生部“，分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，学校领导要求招生部门不能对财务部进行访问，但学工教务部可以对财务部进行访问。

PC1代表学工教务部的主机、PC2代表招生部的主机、PC3代表财务部的主机。

三、技术实现规则1、ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。

ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；2、IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；3、标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；4、扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；5、IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；四、实验方法1、新建Packet Tracer拓扑图2、路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

3、配置路由器接口IP地址。

4、在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

5、在R1上编号的IP标准访问控制6、将标准IP访问控制应用到接口上。

7、验证主机之间的互通性。

五、实验设备PC 3台；Router-PT 2台；交叉线；DCE串口线；六、实验详细配置拓扑结构1、PC1：IP: 172.16.1.2Submask: 255.255.255.0Gageway: 172.16.1.12、PC2：IP: 172.16.2.2Submask: 255.255.255.0Gageway: 172.16.2.13、PC3：IP: 172.16.4.2Submask: 255.255.255.0Gageway: 172.16.4.14、Router01.//配置Router0联通的端口2.Router>en3.Router#conf t4.Router(config)#inter fa 0/05.Router(config-if)#ip address 172.16.1.1 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 1/08.Router(config-if)#ip address 172.16.2.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#inter s 2/011.Router(config-if)#ip address 172.16.3.1 255.255.255.012.Router(config-if)#no shutdown13.Router(config-if)#clock rate 6400014.Router(config-if)#exit5、Router11.//配置Router1联通的端口2.Router>en3.Router#conf t4.Router(config)#inter serial 2/05.Router(config-if)#ip address 172.16.3.2 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 0/08.Router(config-if)#ip address 172.16.4.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#exit6、Router0路由转发1.//配置Router0路由IP转发表，使路由转发来自跃点172.16.3.2的172.16.4.0目标段数据2.Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.27、Router1路由转发1.//配置Router1路由IP转发表，使路由转发来自跃点172.16.3.1的所有IP段的数据2.Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1七、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (success)测试成功！八、Router0准入配置1.//配置Router的IP准入2.Router(config）#3.Router(config-std-nacl)# ip access-list standard cisco //配置准入口令“cisco”4.Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //设置准入IP5.Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //设置拒接接入IP6.Router(config-std-nacl)# conf t7.Router(config)# int s 2/08.Router(config-if)# ip access-group cisco out //向serial2/0 接口发布准入口令九、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)上述实验过程测试通过，大家放心使用。