访问控制列表实验

实验十二、十三IP访问控制列表（ACL）实验1 标准IP访问列表[实验目的]掌握标准IP访问列表规则及配置。

[背景描述]你是一个公司的网络管理员，公司一经理部门用户PC1和一销售部门用户PC2在同一网段内，而财务部门PC3在另一分公司且属另一网段，三部门以下图方式进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部门用户PC1可以对财务部门PC3进行访问。

[实现功能]实现网段间相互访问的安全控制。

[实验拓扑][实验设备]R1762路由器（2台），交换机或集线器（1台）。

[实验步骤]第一步：基本配置Router1配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/2Router(config-if)#ip add 172.16.0.1 255.255.0.0Router(config-if)#no shutRouter(config-if)#int f1/0Router(config-if)#ip add 192.168.0.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2Router2配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/3Router(config-if)#ip add 172.16.0.2 255.255.0.0Router(config-if)#no shutRouter(config-if)#clock rate 64000Router(config-if)#int f1/0Router(config-if)#ip add 192.168.1.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/3各PC机IP可按上图示设置为：PC1：IP 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.254；PC2：IP 192.168.0.2 netmask 255.255.255.0 gateway 192.168.0.254；PC3：IP 192.168.1.1 netmask 255.255.255.0 gateway 192.168.1.254。

《网络技术实验》（第二版）学号:姓名:成绩：实验六：访问控制列表一：拓扑图：二：标准实验内容：1：使其各个联通：2在PC0上进行标准ACL：原理：允许过滤源地址和目的地址。

标准ACL的格式：access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log] （list-number是1到99之间的一个整数，表示访问控制列表编号）（1）、配置标准IP访问控制列表：（2）显示标准ACL：（3）测试其联通性，由下图知：由图知PC0不通，PC1和PC2联通。

（4）、PC0机通过URL访问服务器Server0：三，扩展IP访问控制列表：原理：允许过滤源地址和目的地址。

标准ACL的格式：access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log]（list-number是1到99之间的一个整数，表示访问控制列表编号）原理：扩展IP访问控制列表扩展了对信包的过滤能力，它可以根据以下内容过滤信包：协议类型、源地址、目的地址、源端口、目的端口等。

基本格式：access-list [list-number][permit|deny][protocol|protocol keyword][source address] [source-wildcard][source port][destination address] [destination-wildcard][destination port][log]（其中list-number的含义和标准IP访问控制列表的相同，只是号码从100-199。

）（1）、配置扩展IP访问控制列表：(2）用icmp来做：（3）用tcp来做：四;实验总结：通过此次实验，在前面几次试验学习的基础上，对路由的设置更加熟悉，并学会了，用基本ACL和扩展ACL对PC机的访问进行设置，对计算机网络的管理有一定的了解，希望在今后的学习当中，能学到更多。

访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签：控制列表配置职场休闲【网络环境】网络时代的高速发展，对网络的安全性也越来越高。

西安凌云高科技有限公司因为网络建设的扩展，因此便引入了访问控制列表(ACL)来进行控制，作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢？【网络目的】明白ACL访问控制列表的原理、以及正确的配置；按照网络拓扑图的要求来正确的连接设备。

创建访问控制列表来满足我们所定义的需求；【网络拓扑】【实验步骤】第一步：配置Router1的端口IP地址：（注意：在配置之前我们先要明白ACL访问控制列表的工作原理；ACL访问控制列表的原理是它是以包过滤技术，在路由器上读取OSI7层模型的第三层和第四层包头中的信息，根据自己预先定义好的规则，对包进行过滤，从而来达到访问控制的目的。

我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段？但是又怎么样才能让它们互相通信？根据拓扑图：我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类，AC L通过在接口路由器上接口出控制数据包是转发还是丢弃，来过滤通信流量。

路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是，从而来决定该数据包是转发还是丢弃！！！）第二步：配置Router2的端口IP地址：（注意：ACL访问控制列表分为最基本的两种，它们是标准访问控制列表和扩展访问控制列表：标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。

结果是基于源网络/子网/主机的IP地址，来决定该数据包是转发还是拒绝该数据包；它所使用1~99之间的数字作为表号。

扩展访问控制列表是对数据包的源地址和目的地址均进行检查，它也可以检查特定的协议、端口号以及其他的修改参数。

它所使用的是100~199之间的数字作为表号；我们在这里只对标准访问控制列表和扩展访问控制列表进行说明；还有一些例如：基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。

一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。

三、实验设备PC 3台；Router-PT 3台；交叉线；DCE串口线；Server-PT 1台；四、实验步骤标准IP访问控制列表配置：新建Packet Tracer拓扑图（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置路由器接口IP地址。

（3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

（4）在R1上编号的IP标准访问控制。

（5）将标准IP访问控制应用到接口上。

（6）验证主机之间的互通性。

扩展IP访问控制列表配置：新建Packet Tracer拓扑图（1）分公司出口路由器与外路由器之间通过V.35电缆串口连接，DCE 端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置PC机、服务器及路由器接口IP地址。

（3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才涉及到访问控制列表。

（4）在R2上配置编号的IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

五、实验结果标准IP访问控制列表配置：PC0：PC1：PC2：PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置：PC0：Server0：六、实验心得与体会实验中对ACL的配置有了初步了解，明白了使用ACL可以拒绝、允许特定的数据流通过网络设备，可以防止攻击，实现访问控制，节省带宽。

其对网络安全有很大作用。

另外，制作ACL时如果要限制本地计算机访问外围网络就用OUT，如果是限制外围网络访问本地计算机就用IN。

两者的区别在于他们审核访问的时候优先选择哪些访问权限。

【实验题目】访问控制列表（ACL ）实验 【实验目的】1. 掌握标准访问列表规则及配置。

2. 掌握扩展访问列表规则及配置。

3. 了解标准访问列表和扩展访问列表的区别。

【实验内容】1. 使用RIP 路由协议连通实验网（实现三台PC 的相互通信）。

2. 配置标准ACL 并验证，注意在实验报告中体现前后对比。

限制PC3访问PC2，说明放置位置，放置方向（in/out ），为什么。

3. 配置扩展ACL 并验证，注意在实验报告中体现前后对比。

限制PC3访问PC2，说明放置位置，放置方向（in/out ），为什么。

并比较标准ACL 和扩展ACL 的区别。

（注意先将标准ACL 移除） 4. 在三个路由器使用DEBUG IP ICMP 命令跟踪数据包（测试时使用PING -T 命令）。

【实验拓扑】要求画出拓扑图【实验步骤】1. 使用RIP 路由协议连通实验网（实现三台PC 的相互通信）。

步骤1：Router1基本配置1） 为Router1的F0/0端口设置ip 地址 192.168.1.1 255.255.255.0，从关闭状态设为打开状态。

2） 为Router1的F0/1端口设置ip 地址 192.168.2.1 255.255.255.0，从关闭状态设为打开状态。

3） 为Router1的serial 2/0 端口设置ip 地址 192.168.3.1 255.255.255.0,时钟频率为64000，从关闭状态设为打开状态。

步骤2：Router2基本配置1） 为Router2 的F0/0 端口设置ip 地址 192.168.4.2 255.255.255.0, 从关闭状态设为打开状态。

2) 为Router2的serial 2/0 端口设置ip 地址 192.168.3.2 255.255.255.0, 从关闭状态设为打开状态。

步骤3：Router1 配置RIP 路由协议Router1(config)# router ripRouter1(config-router)#network 192.168.1.0 Router1(config-router)#network 192.168.2.0 Router1(config-router)#network 192.168.3.0 Router1(config-router)#version 2 Router1(config-router)#no auto-summary院系 班 级 组长学号 学生步骤4：Router2 配置RIP 路由协议Router2(config)# router ripRouter2(config-router)#network 192.168.3.0Router2(config-router)#network 192.168.4.0Router2(config-router)#version2Router2(config-router)#no auto-summary各台机可互相ping通：2.配置标准ACL并验证，注意在实验报告中体现前后对比。

访问控制列表实验报告介绍访问控制列表（Access Control List）是一种用于网络安全的重要工具。

它用于限制用户或设备对网络资源的访问权限，以保护网络的安全和保密性。

在本实验中，我们将学习如何配置和管理访问控制列表，并通过实际的示例来演示ACL的工作原理和应用。

实验目标本实验的目标是帮助学生理解访问控制列表的基本概念和配置方法。

具体而言，我们将关注以下方面：1.访问控制列表的作用和用途；2.如何配置和管理访问控制列表；3.不同类型的访问控制列表及其应用场景。

实验步骤步骤一：了解访问控制列表访问控制列表是一种在路由器或交换机上配置的规则集合，用于控制网络流量的访问权限。

它基于源地址、目的地址、协议类型等条件来限制特定用户或设备对网络资源的访问权限。

ACL可以分为两种类型：标准ACL和扩展ACL。

标准ACL仅使用源地址作为匹配条件，而扩展ACL可以使用更多的条件来进行匹配，例如源地址、目的地址、协议类型、端口号等。

步骤二：配置访问控制列表在这个实验中，我们将使用一台路由器进行ACL的配置示例。

以下是一些基本的ACL配置命令：Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255上述命令创建了一个标准ACL，允许所有源地址为192.168.0.0/16的流量通过。

Router(config)# access-list 2 permit tcp any host 192.168.1.1 eq 80上述命令创建了一个扩展ACL，允许任何源地址的TCP流量通过到目的地址为192.168.1.1、目的端口号为80的主机。

步骤三：应用访问控制列表完成ACL的配置后，我们需要将其应用到实际的接口或接口组上。

以下是一些基本的ACL应用命令：Router(config-if)# ip access-group 1 in上述命令将ACL 1应用到接口的入方向，用于限制进入该接口的流量。

实验七 标准访问控制列表一、编号标准访问控制列表1．按图7-1将实验设备连接好。

图7-12．对PC 和路由器进行基本配置。

A. PC 机配置PC1的IP 地址为192.168.1.10，子网掩码为255.255.255.0，默认网关为192.168.1.1。

PC2的IP 地址为192.168.2.10，子网掩码为255.255.255.0，默认网关为192.168.2.1。

PC3的IP 地址为192.168.3.10，子网掩码为255.255.255.0，默认网关为192.168.3.1。

B.路由器基本配置R1(config)#interface fastethernet 1/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface fastethernet 1/1R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface serial 1/2R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#endR1#show ip interface brief R1#configure terminalR1(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2PC3 3.10192.168.3.0/24192.168.12.0/24PC1 R1R2F1/0 3.1S1/2 12.2S1/2 12.1R2(config)#interface fastethernet 1/0R2(config-if)#ip address 192.168.3.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exitR2(config)#interface serial 1/2R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#endR2#show ip interface brief R2#configure terminalR2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.13. 测试网络的连通性。

访问控制列表（ACL）配置实验报告实验四访问控制列表（ACL）配置1、实验目的：（1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。

（2）思科交换机的基本ACL配置2、实验环境：利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。

通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。

3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。

（2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数）。

（3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。

将该列表应用于路由器的相应端口。

然后，进行相应的Ping测试。

（4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。

将该列表应用于路由器的相应端口，最后进行相应的Ping测试。

2.3 实验步骤（1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。

（2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为：255.255.255.0，网关为：192.168.1.1，如下图2-2所示：其他PC机的配置方法类似，配置如下：PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1（3）进入第一台思科1912交换机的CLI界面，做如下配置：>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面，将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2，子网掩码配置为255.255.255.0，默认网关与其他PC 机一样，为192.168.1.1 ，最后退出全局配置界面。

实验四：访问控制列表（ACL）配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

2、访问控制列表的分类：1. 基本的访问控制列表（basic acl）2.高级的访问控制列表（advanced acl）3.基于接口的访问控制列表（interface-based acl）4. 基于MAC的访问控制列表（mac-basedacl）三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：可以飞鸽传书，可以PING通对方IP实验结果截图如下测试二：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：Router A/B这一组是通过配置AR28-1的ACL，使用与Router C/D这一组的PC机的飞鸽传书不能传输数据，可以发送聊天信息，可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答：ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。

每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。

由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

访问控制列表（ACL）实验报告1. 实验简介本实验旨在介绍访问控制列表（Access Control List，ACL）的基本概念和使用方法。

ACL是一种用于限制对网络资源访问的方式，通过配置规则表来控制网络流量的传输。

本实验将分为以下几个步骤进行。

2. 实验环境在进行实验前，我们需要准备以下环境：•一台已安装操作系统的计算机•网络设备（如路由器、交换机等）•网络拓扑图（可参考附录）3. 实验步骤步骤一：了解ACL的基本概念在开始配置ACL之前，我们需要了解ACL的基本概念。

ACL由一条或多条规则组成，每条规则定义了一种访问控制策略。

ACL可以基于源IP地址、目标IP地址、协议类型、端口号等信息进行过滤。

步骤二：创建ACL对象我们首先需要在网络设备上创建ACL对象。

打开命令行界面，输入以下命令来创建一个名为“ACL1”的ACL对象：config terminalip access-list extended ACL1步骤三：配置ACL规则接下来，我们可以通过添加ACL规则来实现访问控制。

假设我们要限制某个IP地址的访问权限，可以输入以下命令来添加ACL规则：permit ip 192.168.0.1 any上述命令表示允许IP地址为192.168.0.1的主机访问任何目标IP地址。

同样地，我们可以添加更多的规则来满足需求。

步骤四：将ACL应用到接口在配置完ACL规则后，我们需要将ACL应用到网络设备的接口上，以实现访问控制。

假设我们要将ACL1应用到接口GigabitEthernet0/1上，可以输入以下命令：interface GigabitEthernet0/1ip access-group ACL1 in上述命令中的“in”表示将ACL应用到入向流量上。

如果需要将ACL应用到出向流量上，可以使用“out”参数。

步骤五：验证ACL配置最后，我们需要验证ACL的配置是否生效。

可以通过发送测试流量来检查ACL 是否按照预期工作。

访问控制列表实验报告《访问控制列表实验报告》摘要：本实验旨在通过实际操作，了解和掌握访问控制列表（ACL）的基本概念和应用。

通过对ACL的配置和管理，实现对网络资源的访问控制和权限管理。

本文将详细介绍实验的目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行总结和分析。

1. 实验目的访问控制列表（ACL）是一种用于控制网络资源访问权限的重要机制，通过ACL可以对网络流量进行过滤和控制，保护网络安全。

本实验旨在通过实际操作，掌握ACL的基本概念和配置方法，实现对网络资源的访问控制和权限管理。

2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网，通过路由器进行网络流量的控制和管理。

实验中使用了Cisco路由器，并配置了基本的网络环境和访问控制列表。

3. 实验步骤（1）配置路由器基本网络环境，包括IP地址、子网掩码等；（2）创建访问控制列表，并定义访问控制规则；（3）将访问控制列表应用到路由器的接口上，实现对网络流量的控制和管理；（4）测试ACL的效果，验证ACL对网络流量的过滤和控制。

4. 实验结果通过实验操作，成功创建了访问控制列表，并将其应用到路由器的接口上。

在测试过程中，发现ACL可以有效地对网络流量进行过滤和控制，实现了对特定IP地址或端口的访问限制。

5. 问题与解决在实验过程中，遇到了一些配置和测试中的问题，如ACL规则的定义和应用不当导致网络流量无法正常通过等。

通过查阅资料和与实验指导老师讨论，最终找到了解决方案，并成功完成了实验目标。

6. 总结与展望本次实验通过实际操作，加深了对访问控制列表的理解和应用，掌握了ACL的配置和管理技术。

ACL作为网络安全的重要手段，对于保护网络资源和数据具有重要意义。

未来，可以进一步学习和探索ACL在实际网络环境中的应用，提高网络安全性和管理效率。

通过本次实验，对访问控制列表有了更深入的了解，掌握了其基本配置和应用方法，为今后的网络管理和安全工作奠定了基础。

访问控制列表(acl)实验报告访问控制列表（Access Control Lists，简称ACL）是一种用于控制网络资源访问权限的技术。

通过ACL，网络管理员可以根据需要限制或允许特定用户或用户组对网络资源的访问。

本文将介绍ACL的基本概念、实验过程以及实验结果。

一、ACL的基本概念ACL是一种应用于路由器或交换机等网络设备上的访问控制机制。

它通过在设备上设置规则，控制网络流量的进出。

ACL的规则由访问控制表（Access Control Table）组成，每个规则由一个或多个条件和一个动作组成。

条件可以是源IP地址、目的IP地址、协议类型、端口号等，动作可以是允许通过、阻止或丢弃数据包。

二、实验过程1. 实验环境准备为了进行ACL实验，我们需要准备一台路由器或交换机，并连接一些主机和服务器。

在实验开始之前，需要确保所有设备的网络连接正常，并且已经了解每个设备的IP地址和子网掩码。

2. 创建ACL规则在路由器或交换机上，我们可以通过命令行界面（CLI）或图形用户界面（GUI）来创建ACL规则。

这里以CLI为例，假设我们要限制某个子网内的主机访问外部网络。

首先，我们需要创建一个ACL，并定义允许或阻止的动作。

例如，我们可以创建一个允许外部网络访问的ACL规则，命名为“ACL-OUT”。

然后，我们可以添加条件，比如源IP地址为内部子网的地址范围，目的IP地址为任意外部地址，协议类型为TCP或UDP，端口号为80（HTTP）或443（HTTPS）。

3. 应用ACL规则创建ACL规则后，我们需要将其应用到适当的接口或端口上。

这样，所有经过该接口或端口的数据包都会受到ACL规则的限制。

在路由器或交换机上，我们可以使用“应用ACL”命令将ACL规则应用到指定的接口或端口上。

例如，我们可以将“ACL-OUT”规则应用到连接外部网络的接口上，从而限制内部子网的主机访问外部网络。

4. 测试ACL规则在应用ACL规则后，我们可以进行一些测试来验证ACL的有效性。

访问控制列表综合实验一实验目的: 首先对路由器配置动态路由协议,使整个网络互相连通.然后,建立访问控制列表,测试访问控制列表的应用.二、实验任务1.标准访问列表允许源网络地址为172.16.0.0的通信量通过2.利用扩展访问控制列表, 禁止主机A远程登录路由器B3.利用扩展访问控制列表, 只允许主机A远程登录路由器B三．实验设备:路由器Cisco 2621两台，交换机Cisco 2950三台,带有网卡的工作站 PC 至少三台，直通双绞线缆六条，DCE或DTC线缆一条四．实验环境:五．实验步骤:1.对图中设备规划并按以下要求配置IP地址：routeA: f0/0 :172.16.16.1 255.255.255.0f0/1: 172.16.19.1 255.255.255.0s0/0 :172.16.18.1 255.2555.255.0 routeB: f0/0: 172.16.17.1 255.255.255.0s0/0: 172.16.18.2 255.255.255.0 pc1: 172.16.16.2 255.255.255.0gw:172.16.16.1pc2: 172.16.17.2 255.255.255.0gw :172.16.17.1pc3: 172.16.19.2 255.255.255.0gw: 172.16.19.12.在路由器routeA(DCE端)上配置如下:routeA(config)#int f0/0routeA(config-if)#ip add 172.16.16.1 255.255.255.0routeA(config-if)#no shrouteA(config)#int s0/0routeA(config-if)#ip add 172.16.18.1 255.255.255.0routeA(config-if)#encapsulation hdlc HDLC 是CISCO 路由器使用的缺省协议routeA(config-if)#clock rate 64000routeA(config-if)#no shrouteA(config-if)#exit3.在路由器routeB(DTE端)配置如下:routerB(config)#int f0/0routeB(config-if)#ip add 172.16.17.1 255.255.255.0routeB(config-if)#no shrouteB(config)#int s0/0routeB(config-if)#ip add 172.16.18.2 255.255.255.0routeB(config-if)#encapsulation hdlcrouteB(config-if)#no shrouteB(config-if)#exit4.在两台路由器上分别启用动态路由协议在路由器A上:routeA(config)#route riprouteA(config-router)#version 2routeA(config-router)#network 172.16.0.0在路由器B上:routeB(config)#route riprouteB(config-router)#version 2routeB(config-router)#network 172.16.0.0测试连通情况：PC1 ：PING 172.16.17.2 （通，则成功）5.创建访问控制列表：（1）标准访问列表允许源网络地址为172.16.16.0的所有流量可以通过S0/0访问外部网络拒绝特定主机地址172.16.19.2的流量通过F0/0访问所有网络routeA(config)#access list 1 permit 172.16.0.0 0.0.255.255routeA(config)#access list 2 deny host 172.16.19.2将访问列表1应用于接口S0/0上routeA(config)#int s0/0routeA(config-if)#ip access-group 1 out将访问列表2应用于接口F0/0上routeA(config)#int f0/0routeA(config-if)#ip access-group 2 out测试结果：PC1：PING 172.16.17.2（通，允许通过）PC3：PING 172.16.17.2（不通，拒绝特定主机通过）注意：在每个端口、每个协议、每个方向上只能有一个访问控制列表routerA(config)#no access-list 1 (删除一个访问列表)或者使用：r outerA(config-if)#no ip access-group 1 in二者都可能实现去掉访问列表的目的。

访问控制列表(acl)实验报告访问控制列表（ACL）实验报告引言访问控制列表（ACL）是网络安全中常用的一种技术，它可以帮助网络管理员控制用户或者系统对资源的访问权限。

为了更好地了解ACL的工作原理和应用，我们进行了一系列的实验，并撰写了本报告，以总结实验结果并分享我们的经验。

实验目的本次实验的目的是探索ACL的基本概念、配置方法和应用场景，通过实际操作来加深对ACL的理解，并验证ACL在网络安全中的重要性和作用。

实验内容我们首先学习了ACL的基本概念和分类，包括标准ACL和扩展ACL。

接着，我们使用网络模拟软件搭建了一个简单的网络环境，并在路由器上配置了ACL，限制了不同用户对特定资源的访问权限。

我们还进行了一些模拟攻击和防御的实验，比如尝试绕过ACL进行非法访问，以及通过ACL阻止恶意访问。

实验结果通过实验，我们深入了解了ACL的配置方法和工作原理。

我们发现，ACL可以有效地限制用户或系统对网络资源的访问，提高了网络的安全性。

同时，ACL也能够帮助网络管理员更好地管理网络流量和资源利用，提高网络的性能和效率。

实验结论ACL是网络安全中一种重要的访问控制技术，它能够有效地保护网络资源不受未经授权的访问和攻击。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用，认识到ACL在网络安全中的重要性。

我们将继续学习和探索ACL的更多应用场景，并将ACL技术应用到实际的网络安全实践中，保护网络资源的安全和完整性。

总结通过本次实验，我们对ACL有了更深入的了解，并且掌握了ACL的基本配置方法和应用技巧。

我们相信ACL将在未来的网络安全中发挥越来越重要的作用，我们将继续学习和研究ACL技术，为网络安全做出更大的贡献。

标准访问控制列表配置实训一、实验目的本实训旨在让学生掌握标准访问控制列表的配置方法，理解其工作原理，并能够根据实际需求进行正确的配置。

二、实验设备1. 路由器或交换机2. 计算机或笔记本3. 网络线4. 模拟软件（如GNS3）三、实验步骤与配置示例步骤1：设备连接与基本配置1. 在模拟软件GNS3中，拖拽一个路由器图标并连接到两台计算机，分别命名为Router1和Router2。

2. 启动Router1和Router2，并进入命令行界面。

3. 对两台设备进行基本配置，包括设置主机名、IP地址等。

示例：Router1：Router>enableRouter#configure terminalRouter(config)#hostname Router1Router1(config)#ip dhcp pool pool1Router1(config)#ip dhcp pool pool2Router1(config)#interface GigabitEthernet0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface GigabitEthernet0/1Router1(config-if)#ip address 192.168.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254步骤2：配置标准访问控制列表（ACL）1. 在Router1上创建一个标准访问控制列表（ACL），允许源IP为192.168.1.0/24的数据包访问目标IP为192.168.2.0/24的数据包。

实验6 访问控制列表6.1 标准访问控制列表标准ACL 的表号取值范围是1~99。

标准ACL 语句格式为：access-list 表号 {permit | deny} {地址 通配符掩码 | any | host 地址} 表号相同的语句组成一个ACL 。

把ACL 应用在设备接口上：interface 接口ip access-group 表号 {in | out} 本部分内容可以在Boson 模拟器上练习。

拓扑结构：本网络模拟一个场景：192.168.1.0子网是一个资源子网，它只允许来自工作场所的主机访问。

工作场所有多个子网，IP 地址使用172.16.#.#格式定义。

其余格式的IP 地址均为休闲场所。

说明：在一般情况下，划分子网多使用三层交换机，但Boson 中的3550交换机不支持访问控制列表，所以此处使用路由器。

R3620路由器是一个模块化路由器，它的接口名为E0/0、E0/1、E0/2、E0/3。

1、配置R3620：各接口都配置IP 地址。

（注：路由器接口IP 地址的最后一个数均为1。

）PC2 172.16.1.2/24PC3 172.16.2.2/24PC4 10.1.1.2/242、配置各计算机的IP地址、子网掩码、默认网关。

（此时各PC机都可以通信。

）3、定义一个标准ACL：源地址为172.16.#.#格式的主机可以访问192.168.1.0/24网络中的主机，其它不能访问。

4、验证结果：PC2、PC3可以访问PC1，PC4不能访问PC1，但可以访问PC2和PC3。

常见问题：(1) 如果配置ACL时把参数写错了，或语句顺序有错误，修改时需要删除整个ACL，再重新定义。

删除ACL的方法是：R3620(config)# no access-list 表号说明：Boson不支持删除ACL，所以，在Boson中只能重装拓扑图，重新配置。

(2) 如果应用ACL时，选错了接口，需要删除它在接口上的定义，删除方法是：R3620(config)# interface 接口R3620(config-if)# no ip access-group 表号{in | out}6.2 扩展访问控制列表扩展ACL的表号取值范围是100~199。

访问控制列表实验报告访问控制列表实验报告引言：在网络安全领域，访问控制是一项至关重要的任务。

为了保护网络资源免受未经授权的访问和恶意攻击，许多组织和个人采用了访问控制列表（ACL）作为一种有效的安全措施。

本实验报告将介绍ACL的概念、分类和实验过程，并对实验结果进行分析和总结。

一、ACL的概念和分类访问控制列表是一种用于限制或允许特定用户或主机对网络资源进行访问的策略。

它可以根据源IP地址、目标IP地址、协议类型和端口号等条件进行过滤和控制。

根据应用场景和实现方式的不同，ACL可以分为两种类型：基于网络层的ACL和基于应用层的ACL。

基于网络层的ACL是在网络设备（如路由器、防火墙）上实现的，它通过检查数据包的源IP地址和目标IP地址来决定是否允许传输。

这种ACL通常用于控制网络流量，可以提高网络性能和安全性。

基于应用层的ACL是在应用程序或操作系统中实现的，它通过检查数据包的协议类型和端口号来决定是否允许传输。

这种ACL通常用于控制特定应用程序的访问权限，例如Web服务器、FTP服务器等。

二、实验过程为了深入理解ACL的实际应用和效果，我们进行了一系列实验。

首先，我们在一台路由器上配置了基于网络层的ACL，限制了某个特定IP地址的访问权限。

然后，我们使用另一台主机尝试从被限制的IP地址访问目标主机，观察ACL的效果。

实验结果显示，当我们尝试从被限制的IP地址访问目标主机时，数据包被路由器拦截并丢弃，无法成功建立连接。

这证明ACL能够有效地阻止未经授权的访问，提高了网络的安全性。

接下来，我们进行了基于应用层的ACL实验。

我们在一台Web服务器上配置了ACL，限制了某个特定端口的访问权限。

然后，我们使用另一台主机尝试从被限制的端口访问Web服务器，观察ACL的效果。

实验结果显示，当我们尝试从被限制的端口访问Web服务器时，连接被拒绝，无法获取到Web页面。

这再次证明了ACL的有效性，它可以帮助我们控制特定应用程序的访问权限，保护网络资源的安全。

实验五、访问控制列表的配置5.1实验目的1．熟悉路由器的包过滤的核心技术：访问控制列表。

2. 掌握访问控制列表的相关知识。

3. 掌握访问控制列表的应用，灵活设计防火墙。

5.2 设备需求(1) 2台路由器。

(2) 1～2台交换机(可选)。

(2) 2～5台PC机。

(3) 2根Console控制台电缆(一端接交换机Console端口，一端接PC机串口)。

(4) 2根V.35电缆。

5.3 实验环境图5-1 访问控制列表配置实验5.4实验内容和步骤1. 基本访问控制列表(序号为2000～2999)基本访问控制列表只使用数据包的源地址来判断数据包，所以它只能以源地址来区分数据包，源相同而目的不同的数据包也只能采取同一种策略。

所以利用标准访问控制列表，我们只能粗略的区别对待网内的用户群，那些主机能访问外部网，那些不能。

在实验环境中，我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络，则只需在路由器上进行如下配置即可。

(1) 配置访问控制列表在路由器RTA上配置：进入超级终端，进入路由器的系统视图。

[RTA] firewall enable[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.0.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.1 24[RTA-Serial5/0] quit[RTA] rip[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.0.0[RTA-rip-1] quit允许IP地址是202.0.0.2的特定主机访问外部网络，而禁止该网段的其他主机访问外部网络。

[RTA] acl number 2001[RTA-acl-basic-2001] rule permit source 202.0.0.2 0.0.0.0[RTA-acl-basic-2001] rule deny source 202.0.0.2 0.0.0.255[RTA-acl-basic-2001] quit[RTA] interface Serial5/0[RTA-Serial5/0] firewall packet-filter 2001 outbound[RTA] display ip routing-tableRouting Tables: PublicDestinations : 8 Routes : 8Destination/Mask Proto Pre Cost NextHop Interface127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.0/24 Direct 0 0 192.0.0.1 S5/0192.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.2/32 Direct 0 0 192.0.0.2 S5/0202.0.0.0/24 Direct 0 0 202.0.0.1 GE0/0202.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0202.0.1.0/24 RIP 100 1 192.0.0.2 S5/0在路由器RTB上配置：[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.1.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.2 24[RTA-Serial5/0] quit[RTA] rip // 启动路由协议[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.1.0[RTA-rip-1] quit(2) 验证访问控制列表的作用在PCA主机(IP地址是：202.0.0.2)的命令窗口，Ping PCD主机(IP地址是：202.0.1.2)：Ping 202.0.1.2应该能Ping 通，而在主机PCB(IP地址是：202.0.0.3，若实验中仅有2台PC机，则需将PCA 主机的IP地址改为202.0.0.3)的命令窗口，Ping PCD主机，则不能Ping 通。

实训二、网络控制列表一、实训说明：ACL(Access Control List，访问控制列表)，简单说就是包过滤，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。

配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则：最小特权原则：只给受控对象完成任务所必须的最小的权限。

最靠近受控对象原则：所有的网络层访问权限控制。

具体规则如下：1、入站访问控制列表：将到来的分组路由到出站接口之前对其进行处理。

因为如果根据过滤条件分组被丢弃，则无需查找路由选择表；如果分组被允许通过，则对其做路由选择方面的处理。

2、出站访问列表：到来的分组首先被路由到出站接口，并在将其传输出去之前根据出站访问列表对其进行处理。

3、访问控制列表的顺序决定被检验的顺序，最特殊的的规则应该被刚到访问控制列表的前面。

4、任何访问列表都必须至少包含一条permit语句，否则将禁止任何数据流通过。

5、同一个访问列表被用于多个接口，然而，在每个接口的每个方向上，针对每种协议的访问列表只能有一个。

6、在每个接口的每个方向上，针对每种协议的访问列表只能有一个。

同一个接口上可以有多个访问列表，但必须是针对不同协议的。

7、将具体的条件放在一般性条件的前面；将常发生的条件放在不常发生的条件前面。

8、新添的语句总是被放在访问列表的末尾，但位于隐式deny语句的前面。

9、使用编号的访问列表时，不能有选择性的删除其中的语句；但使用名称访问列表时可以。

10、除非显式地在访问列表末尾添加一条permit any语句，否则默认情况下，访问列表将禁止所有不与任何访问列表条件匹配的数据流。