标准ACL实验

ACL实验配置的实验报告ACL实验配置的实验报告一、引言网络安全是当今互联网时代的重要议题之一。

为了保护网络资源的安全性，许多组织和个人采取了访问控制列表（Access Control List，简称ACL）的配置方法。

本文将介绍ACL实验配置的实验报告，探讨ACL在网络安全中的应用和效果。

二、实验目的本次实验旨在通过配置ACL来控制网络流量，实现对特定IP地址或端口的访问控制。

通过实验，我们将了解ACL的基本原理和配置方法，并评估ACL在网络安全中的实际效果。

三、实验环境本次实验使用了一台具备路由器功能的设备，该设备支持ACL功能。

我们将在该设备上进行ACL配置和测试。

四、实验步骤1. 配置ACL规则我们首先登录到设备的管理界面，进入ACL配置页面。

根据实验要求，我们配置了两条ACL规则：- 允许特定IP地址的访问：我们设置了一条允许来自IP地址为192.168.1.100的主机访问的规则。

- 阻止特定端口的访问：我们设置了一条阻止访问端口号为80的规则，以模拟对HTTP协议的限制。

2. 应用ACL规则配置完ACL规则后，我们将其应用到设备的出口接口上。

这样，所有经过该接口的流量都将受到ACL规则的限制。

3. 测试ACL效果为了验证ACL的效果，我们进行了以下测试：- 尝试从IP地址为192.168.1.100的主机访问设备，结果显示访问成功，符合我们的预期。

- 尝试从其他IP地址访问设备，结果显示访问被拒绝，ACL规则起到了限制作用。

- 尝试访问设备的80端口，结果显示访问被拒绝，ACL规则成功限制了对HTTP协议的访问。

五、实验结果与分析通过实验，我们成功配置了ACL规则，并验证了ACL在网络安全中的实际效果。

ACL能够限制特定IP地址或端口的访问，从而提高网络资源的安全性。

通过合理配置ACL规则，可以防止未经授权的访问和攻击，保护网络的机密性和完整性。

六、实验总结ACL在网络安全中起到了重要的作用。

acl配置实验报告ACL配置实验报告一、实验目的本实验旨在通过配置ACL（Access Control List）来实现对网络设备的访问控制，保护网络安全，限制非授权用户的访问权限，提高网络设备的安全性。

二、实验环境本次实验使用了一台路由器和多台主机，通过配置ACL来限制主机对路由器的访问权限。

三、实验步骤1. 首先，登录路由器，进入配置模式。

2. 创建ACL，并定义访问控制列表的规则。

可以通过指定源IP地址、目的IP地址、协议类型、端口等条件来限制访问。

3. 将ACL应用到路由器的接口上，实现对该接口的访问控制。

4. 测试ACL的效果，尝试从不同的主机访问路由器，验证ACL是否生效。

四、实验结果经过配置ACL后，我们成功限制了某些主机对路由器的访问权限，只允许特定的主机进行访问。

ACL的规则生效，非授权主机无法访问路由器，有效保护了网络设备的安全。

五、实验总结通过本次实验，我们深入了解了ACL的配置和应用，学会了如何通过ACL来实现对网络设备的访问控制。

ACL是网络安全的重要手段之一，能够有效保护网络设备的安全，限制非授权用户的访问权限，提高网络的安全性。

六、实验感想ACL的配置虽然需要一定的技术和经验，但是通过实验的学习和实践，我们对ACL有了更深入的理解，掌握了ACL的配置方法和应用技巧。

在今后的网络管理和安全工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

七、展望ACL作为网络安全的重要手段，将在未来的网络管理和安全工作中发挥越来越重要的作用。

我们将继续深入学习ACL的相关知识，不断提升自己的技术水平，为网络安全做出更大的贡献。

通过本次实验，我们对ACL的配置和应用有了更深入的了解，相信在今后的学习和工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

ACL配置实验报告至此完毕。

ACL实验配置ACL 高度总结：(以下总结希望都去做实验验证一下)1．为了避免 ACL 过多，号不够用，标准列表和扩展列表的范围进行了扩充标准：1-99，1300-1999扩展：100-199 ，2000-26992．路由器上的 ACL 不对自己产生的流量产生作用。

3．ACL 没有定义内容，就相当于不存在。

4．ACL 在一个接口的一个方向上只能配置一个访问列表，后面的会覆盖前面的5．不论是标准还是扩展列表，每个条目之间都是一个鼻孔出气，想要去掉某一个条目，实现不了，要么都去掉，要么都存在；但是命名的访问列表可以去掉单独的某一条目。

添加的条目会自动添加在末尾，不能在中间添加我们现在把R1和R5作为PC机，在R2、R3、R4上运行RIP v2，保障路由畅通。

一、标准ACL：要求： 192.168.1.0网络的数据不能访问192.168.4.0网络1、我们先在R2上配置ACL：access-list 1deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0的数据通过access-list 1 permit any 允许其它网络的数据通过在接口上应用：interface fa0/0ip access-group 1 in 在法FA0/0口的进方向上应用ACL1测试：用PC0去ping 192.168.4.2，我们发现ping不通，说明ACL生效了，但是我们用PC0去ping其它的网络，比如ping 172.16.1.1,也ping不通，因为标准ACL只能对源进行控制，现在R2拒绝了来自192.168.1.0的数据，不管是到哪儿去的，所以R1现在哪儿都去不了。

在R2上用扩展的ping ，用192.168.1.2这个s0口的地址去ping 192.168.4.2，我们发现可以ping通，这是因为对于路由器自己产生的数据，ACL不起作用。

2、我们在R4上配置ACL：access-list 1deny 192.168.1.0 0.0.0.255 access-list 1 permit any在接口上应用：interface Serial1ip access-group 1 out 在s0口的出方向上应用ACL1在R2上把ACL去掉。

ACL配置实验一、实验目的：深入理解包过滤防火墙的工作原理二、实验内容：练习使用Packet Tracer模拟软件配置ACL三、实验要求A.拓扑结构如下图所示，1,2,3是主机，4是服务器1、配置主机，服务器与路由器的IP地址，使网络联通；2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。

使该配置生效，然后再删除该条ACL；3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。

使该配置生效，然后再删除该条ACL；B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)１、配置ACL 限制远程登录（telnet）到路由器的主机。

路由器R0只允许192.168.2.2 远程登录(telnet)。

2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。

3、配置ACL 禁止特点的协议端口通讯。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0禁止192.168.2.3 使用dns (53)端口访问192.168.1.03、验证ACL 规则,检验并查看ACL。

四、实验步骤1、配置主机，服务器与路由器的IP地址，使网络联通；PC0 ping PC2PC1 ping 服务器服务器ping PC02、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。

使该配置生效，然后再删除该条ACL；Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2Router(config)#access-list 1 permit anyRouter(config)#int f 0/1Router(config-if)#ip access-group 1 outRouter(config-if)#exitRouter(config)#exitpc1 ping pc2和服务器pc0 ping pc2和服务器,可以ping通删除该条ACLRouter>enRouter#show access-listStandard IP access list 1deny host 192.168.1.2 (8 match(es))permit any (8 match(es))Router#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list standard softRouter(config-std-nacl)#no access-list 1Router(config)#exitRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#show access-listStandard IP access list softPC1重新ping PC2和服务器，可以ping通3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。

acl配置实验报告ACL配置实验报告摘要：本实验报告旨在探讨ACL（Access Control List）配置的实验过程和结果。

ACL是一种用于网络设备中的访问控制机制，可以限制网络流量的传输和访问权限。

本实验通过实际配置ACL规则来验证其对网络流量的控制作用。

1. 引言ACL是网络设备中非常重要的一种安全机制，可以帮助网络管理员控制和管理网络流量。

通过ACL配置，可以限制特定IP地址、端口或协议的访问权限，从而提高网络的安全性和性能。

本实验旨在通过实际配置ACL规则，验证ACL在网络流量控制方面的有效性。

2. 实验环境本实验使用了一台路由器和多台主机构成的局域网。

路由器上运行着一套支持ACL功能的操作系统，并且已经配置好了网络接口和路由表。

主机之间可以通过路由器进行通信。

3. 实验步骤3.1 ACL规则设计在本实验中，我们设计了以下两条ACL规则：- 允许所有主机访问HTTP服务（端口号80）- 禁止某个特定IP地址访问SSH服务（端口号22）3.2 ACL配置在路由器的配置界面中，我们使用命令行界面（CLI）进行ACL配置。

首先，我们创建了两个ACL规则，分别命名为HTTP-ACL和SSH-ACL。

然后，我们为HTTP-ACL规则设置允许访问的目的端口为80，为SSH-ACL规则设置禁止访问的目的端口为22。

最后，我们将这两个ACL规则应用到路由器的入口接口。

4. 实验结果经过ACL配置后，我们进行了以下实验验证：4.1 HTTP服务访问首先，我们尝试从一个主机访问另一个主机上的HTTP服务。

结果显示，ACL 配置生效，允许访问HTTP服务的流量顺利通过，两台主机成功建立连接并进行数据传输。

4.2 SSH服务访问接下来，我们尝试从特定IP地址访问另一台主机上的SSH服务。

根据ACL配置，这个特定IP地址被禁止访问SSH服务。

实验结果显示，当我们尝试建立SSH连接时，连接被拒绝，无法成功进行认证和登录。

实验四：访问控制列表（ACL）配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

2、访问控制列表的分类：1. 基本的访问控制列表（basic acl）2.高级的访问控制列表（advanced acl）3.基于接口的访问控制列表（interface-based acl）4. 基于MAC的访问控制列表（mac-basedacl）三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：可以飞鸽传书，可以PING通对方IP实验结果截图如下测试二：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：Router A/B这一组是通过配置AR28-1的ACL，使用与Router C/D这一组的PC机的飞鸽传书不能传输数据，可以发送聊天信息，可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答：ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。

每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。

由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

标准访问控制列表实验访问控制列表有两种：一种是标准的访问控制列表，另一种是扩展的访问控制列表。

访问控制列表(ACL)是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。

至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表的应用：1、允许、拒绝数据包通过路由器2、允许、拒绝Telnet会话的建立3、没有设置访问列表时，所有的数据包都会在网络上传输4、基于数据包检测的特殊数据通讯应用标准访问控制列表应注意以下几点：1、检查源地址2、通常允许、拒绝的是完整的协议标准访问列表和扩展访问列表相比，标准的比扩展的简单。

下面我们来做一个关于标准访问控制列表的实验。

经过在路由上配置访问控制命令后，阻止R3 ping R2和R1，但是R3能ping通R4的端口s1/1和s1/2.实验的拓扑连接图如下：Router1 s1/2 <----> ip 192.168.1.2Router2 s1/2 <----> ip 192.168.2.2Router3 s1/2 <----> ip 192.168.3.2Router4 s1/1 <----> ip 192.168.1.1Router4 s1/2 <----> ip 192.168.2.1Router4 s1/3 <----> ip 192.168.3.1用到的模拟器版本为标准路由模拟器标准访问控制列表配置时候很简单，要用的设备也很简单，四台路由器，下面我们开始来做实验，第一步基本配置首先这是在路由器R4中的配置Route>enRoute#conf tRoute(config)#host R4R4(config)#int s1/1R4(config-if)#ip addr 192.168.1.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip addr 192.168.2.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/3R4(config-if)#ip addr 192.168.3.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#router ripR4(config)#network 192.168.1.0R4(config)#network 192.168.2.0R4(config)#network 192.168.3.0R4(config)#exitR4#show ip route接下来配置R1,R2,R3，配置ip和启动RIP路由,配置如下：R1的IP是192.168.1.2R1(config)#router ripR1(config)#network 192.168.1.0R2的IP是192.168.2.2R2(config)#router ripR2(config)#network 192.168.2.0R3的IP是192.168.3.2R3(config)#router ripR3(config)#network 192.168.3.0Ok配置完成后我们测试一下，最后结果是R3 ping通R1和R2，第二步配置标准访问控制列表R4(config)#access-list 1 deny 192.168.3.0 0.0.0.255----------访问控制列表号+许可的IP网段+反掩码R4(config)#access-list 1 permit anyR4(config)#int s1/1R4(config-if)#ip access-group 1 out------------在接口上应用配置R4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip access-group 1 outR4(config-if)#exitOk配置完成后我们测试一下，最后结果是R3 ping不通R1和R2，但是能R4的端口s1/1,s1/2标准访问控制列表的配置就这样的完成了…..。

acl的配置实验报告《ACL的配置实验报告》在网络安全领域中，访问控制列表（ACL）是一种重要的技术手段，用于控制网络设备对数据包的处理。

ACL的配置对于网络安全和管理至关重要，因此我们进行了一系列的实验来验证ACL的配置和功能。

首先，我们对ACL的基本概念进行了深入的研究和理解。

ACL是一种基于规则的访问控制机制，可以根据预先定义的规则来控制数据包的访问权限。

ACL通常应用于路由器、防火墙等网络设备上，用于过滤和控制数据包的流动。

接着，我们进行了ACL的配置实验。

在实验中，我们使用了网络模拟软件搭建了一个简单的网络拓扑，并在路由器上配置了ACL规则。

我们设置了允许或拒绝特定源IP地址、目的IP地址、协议类型、端口号等条件的数据包通过。

通过实验，我们验证了ACL配置对数据包的过滤和控制功能。

在实验过程中，我们还发现了一些常见的ACL配置错误和注意事项。

比如，配置ACL时需要注意规则的顺序，因为ACL是按照规则的顺序依次匹配的，一旦匹配成功就会执行相应的动作。

此外，ACL的配置需要考虑网络性能和安全性的平衡，过多的ACL规则可能会影响网络设备的性能。

最后，我们总结了ACL的配置实验结果并提出了一些建议。

ACL的配置需要根据具体的网络环境和安全需求来进行，合理的ACL配置可以有效地提高网络安全性和管理效率。

同时，我们还强调了对ACL配置的持续监控和优化的重要性，以确保网络安全和正常运行。

通过本次ACL的配置实验，我们深入了解了ACL的原理和功能，掌握了ACL的配置方法和技巧，对于提高网络安全意识和技术水平具有重要的意义。

我们相信，在今后的网络安全工作中，ACL的配置实验经验将会为我们提供有力的支持和指导。

实验2配置标准IP ACL【实验名称】配置标准IP ACL。

【实验目的】使用标准IP ACL 实现简单的访问控制。

【背景描述】某公司网络中，行政部、销售部门和财务部门分别属于不同的3 个子网，3 个子网之间使用路由器进行互联。

行政部所在的子网为172.16.1.0/24，销售部所在的子网为172.16.2.0/24，财务部所在的子网为172.16.4.0/24。

考虑到信息安全的问题，要求销售部门不能对财务部门进行访问，但行政部可以对财务部门进行访问。

【需求分析】标准IP ACL 可以根据配置的规则对网络中的数据进行过滤。

【实验拓扑】【实验拓扑】在行政部主机（172.16.1.0/24）ping 财务部主机，可以ping 通。

在销售部主机（172.16.2.0/24）ping 财务部主机，不能ping 通。

在销售部主机（172.16.2.0/24）ping行政部主机（172.16.1.0/24），可以ping 通。

【实验步骤】步骤1 R1 基本配置。

Router>enRouter #configure terminalRouter (config)#hostname R1R1 (config)#interface fastEthernet 0/0R1 (config-if)#ip address 172.16.1.1 255.255.255.0R1 (config-if)# no shutdownR1 (config-if)#exitR1 (config)#interface fastEthernet 1/0R1 (config-if)#ip address 172.16.2.1 255.255.255.0R1 (config-if)# no shutdownR1 (config-if)#exitR1 (config)#interface serial 2/0R1 (config-if)#ip address 172.16.3.1 255.255.255.0R1 (config-if)#clock rate 64000R1 (config-if)# no shutdownR1 (config-if)#exit步骤2 R2 基本配置。

acl基本配置实验总结ACL（Access Control List）是网络设备中常用的一种安全控制机制，用于限制网络流量的访问权限。

在网络配置实验中，基本的ACL配置是必不可少的一环，它能够帮助管理员实现对网络流量的精细化控制。

本文将对ACL基本配置实验进行总结，并介绍实验过程中需要注意的关键点。

一、实验目的本次实验的主要目的是学习和掌握ACL的基本配置方法，并了解其在网络安全中的重要作用。

通过实践操作，加深对ACL的理解，为今后在网络管理和安全中的应用打下基础。

二、实验环境本次实验使用的环境是一个模拟的网络拓扑结构，包括多个主机和网络设备。

通过连接这些设备，并进行相应的配置，实现ACL的功能。

三、实验步骤1. 配置网络设备：首先需要对网络设备进行基本的配置，包括设置IP地址、子网掩码、网关等。

这些配置将为后续的ACL配置提供基础支持。

2. 创建ACL规则：在网络设备中创建ACL规则，用于限制网络流量的访问权限。

ACL规则可以基于源IP地址、目标IP地址、协议类型等进行过滤。

管理员可以根据实际需求，设置不同的ACL规则。

3. 应用ACL规则：将ACL规则应用到网络设备的特定接口上。

通过应用ACL规则，可以限制特定接口的流量访问权限，提高网络的安全性。

4. 测试ACL配置：在ACL配置完成后，需要进行测试验证。

可以通过发送不同类型的网络流量，观察ACL规则是否生效，以及网络流量是否按照规则进行过滤。

四、实验总结ACL基本配置实验是学习网络安全中重要的一环。

通过实验，我深入了解了ACL的配置方法和原理，掌握了基本的ACL规则设置和应用。

ACL能够在网络中起到精细化的流量控制作用，提高网络的安全性和可管理性。

在实验过程中，我遇到了一些问题，例如配置错误导致ACL规则无法生效，或者配置过于复杂导致网络流量无法正常传输。

通过仔细分析问题原因，并进行相应的调整和修正，最终解决了这些问题。

通过本次实验，我还发现ACL配置需要考虑以下几个关键点：1. 精确的ACL规则：ACL规则应该尽可能精确，以避免对合法流量的误过滤。

acl配置实验报告ACL配置实验报告一、实验目的本实验旨在通过配置ACL（Access Control List）来实现对网络数据包的访问控制，实现对网络流量的过滤和控制，保障网络安全。

二、实验环境本次实验使用了一台运行Linux操作系统的服务器作为实验环境，通过配置iptables来实现ACL的配置。

三、实验步骤1. 首先，我们需要在服务器上安装iptables，可以通过以下命令进行安装：sudo apt-get install iptables2. 接下来，我们需要创建ACL规则，可以通过以下命令进行配置：sudo iptables -A INPUT -s 192.168.1.0/24 -j DROP以上命令表示拒绝所有来自192.168.1.0/24网段的数据包。

3. 配置完成后，我们可以通过以下命令查看已配置的ACL规则：sudo iptables -L4. 最后，我们可以测试ACL规则是否生效，可以通过向服务器发送数据包来进行测试，如果ACL规则配置正确，服务器应该能够正确过滤和控制数据包。

四、实验结果经过测试，ACL配置成功生效，服务器能够正确过滤和控制数据包，实现了对网络流量的有效管理。

五、实验总结通过本次实验，我们了解了ACL的配置和使用方法，掌握了对网络流量进行过滤和控制的技能，这对于提升网络安全性和保障网络畅通具有重要意义。

六、实验展望未来，我们可以进一步研究ACL的高级用法，如通过ACL实现对特定协议或端口的访问控制，以及结合其他安全设备和技术，进一步提升网络安全水平。

综上所述，本次实验取得了良好的效果，对ACL的配置和使用有了更深入的了解，为今后的网络安全工作奠定了基础。

实训名称：标准的ACL配置一、实训原理1、ACL二、实训目的1、了解标准的ACL的基本配置三、实训内容通过配置标准的ACL来阻止某一个IP地址的数据流四、实训步骤：1、配交换机2、配置出口路由器3、配置远程路收器3、再配PC机IP地址拓扑图具体步骤：交换机EnConfVlan 2Name jsbExitVlan 3Name xsbExitInt f0/2switchport mode accessswitchport access vlan 2int f0/3switchport mode accessswitchport access vlan 3int f0/1switchport mode trunk配置出口路由器EnConfInt f0/1No shutExitInt f0/1.2 encapsulation dot1Q 2Ip add 192.168.2.254 255.255.255.0 ExitInt f0/1.3encapsulation dot1Q 3Ip add 192.168.3.254 255.255.255.0 ExitInt f0/0Ip add 192.168.1.1 255.255.255.252No shutrouter ripversion 2network 192.168.1.0network 192.168.2.0network 192.168.3.0no auto-summaryaccess-list 1 deny host 192.168.2.1 //配置标准的ACL access-list 1 permit any //允许所有通过int F0/0ip access-group 1 out 应用ACL在接口下配置远程路由器EnConfInt f0/0Ip add 192.168.1.2 255.255.255.252No shutInt f0/1Ip add 12.1.1.1 255.255.255.252No shutExitrouter ripversion 2network 12.0.0.0network 192.168.1.0no auto-summary给PC机配置IP地址PC0:192.168.2.1/24，网关：192.168.2.254 PC1:192.168.3.1/24，网关：192.168.3.254 PC2:12.1.1.2/30，网关：12.1.1.1PC3:192.168.2.2/24. 网关：192.168.2.254五、实训结果1、在PC0下ping PC2 的IP地址1、在PC3下ping PC2 的IP地址。

访问控制列表(acl)实验报告访问控制列表（Access Control Lists，简称ACL）是一种用于控制网络资源访问权限的技术。

通过ACL，网络管理员可以根据需要限制或允许特定用户或用户组对网络资源的访问。

本文将介绍ACL的基本概念、实验过程以及实验结果。

一、ACL的基本概念ACL是一种应用于路由器或交换机等网络设备上的访问控制机制。

它通过在设备上设置规则，控制网络流量的进出。

ACL的规则由访问控制表（Access Control Table）组成，每个规则由一个或多个条件和一个动作组成。

条件可以是源IP地址、目的IP地址、协议类型、端口号等，动作可以是允许通过、阻止或丢弃数据包。

二、实验过程1. 实验环境准备为了进行ACL实验，我们需要准备一台路由器或交换机，并连接一些主机和服务器。

在实验开始之前，需要确保所有设备的网络连接正常，并且已经了解每个设备的IP地址和子网掩码。

2. 创建ACL规则在路由器或交换机上，我们可以通过命令行界面（CLI）或图形用户界面（GUI）来创建ACL规则。

这里以CLI为例，假设我们要限制某个子网内的主机访问外部网络。

首先，我们需要创建一个ACL，并定义允许或阻止的动作。

例如，我们可以创建一个允许外部网络访问的ACL规则，命名为“ACL-OUT”。

然后，我们可以添加条件，比如源IP地址为内部子网的地址范围，目的IP地址为任意外部地址，协议类型为TCP或UDP，端口号为80（HTTP）或443（HTTPS）。

3. 应用ACL规则创建ACL规则后，我们需要将其应用到适当的接口或端口上。

这样，所有经过该接口或端口的数据包都会受到ACL规则的限制。

在路由器或交换机上，我们可以使用“应用ACL”命令将ACL规则应用到指定的接口或端口上。

例如，我们可以将“ACL-OUT”规则应用到连接外部网络的接口上，从而限制内部子网的主机访问外部网络。

4. 测试ACL规则在应用ACL规则后，我们可以进行一些测试来验证ACL的有效性。

实验四十标准ACL一、实验目的1):本实验的目的是通过配置标准ACL和单臂路由，，让我们对标准ACL和单臂路由的工作原理有更深的认识。

从而掌握它们并应用它们。

二、实验要求：1）：知道什么是ACL和相关内容2): 知道如何配置标准ACL和单臂路由三、实验内容：1、通过配置标准ACL和单臂路由，来研究标准的ACL是如何来控制地址流量和协议流量。

四、实验步聚实验拓朴如图要完成三个任务：1.允许PC1访问R22.拒绝PC1外的1.1.1.0网络访问R23.允许其他流量访问R21).SW的配置a.在交换机上创建VLAN10 和VLAN 20SW#vlan dataSW(vlan)#vlan 10SW(vlan )#vlan 20b.把端口加入相应的VLAN中SW(config)#int fa0/1SW(config-if)#switch mode accessSW(config-if)#switch access vlan 10SW(config)#int fa0/2SW(config-if )#switch mode accessSW(config-if)#switch access vlan 20c.把SW的F0/0的trunk启用SW(config)#int fa0/0SW(config-if)#switch mode trunk2). R1的配置R1(config)#int s1/0R1(config-if)#ip add 192.168.2.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shR1(config)#int fa0/0R1(config-if)#no shR1(config-if)#int fa0/0.1R1(config-subif)#encap dot1Q 10R1(config-subif)#ip add 1.1.1.1 255.255.255.0R1(config-subif)#no shR1(config-if)#int fa0/0.2R1(config-subif)#encap dot1Q 20R1(config-subif)#ip add 2.2.2.1 255.255.255.0R1(config-subif)#no shR1(config)#ip route ip 0.0.0.0 0.0.0.0 192.168.2.2 //宣告路由信息2). R2的配置R2(config)#int s1/0R2(config-if)#ip add 192.168.2.2 255.255.255.0R2(config-if)#no shR2(config)#int f0/0R2(config-if)#ip add 192.168.3.1 255.255.255.0R2(config-if)#no shR2(config)#ip route ip 0.0.0.0 0.0.0.0 192.168.2.1 //宣告路由信息3).配置PC的IP地址PC1：1.1.1.2/24PC2: 2.2.2.2/24PC3: 192.168.3.2/244).现在我们来测试连通性可以看出在没有配置ACL之前它们是可以相互PING通的。

acl的配置实验报告ACL的配置实验报告摘要：本实验旨在通过配置ACL（Access Control List），实现对网络流量的控制和管理。

通过实验，我们了解了ACL的基本概念、分类以及配置方法，并对其在网络安全中的应用进行了探讨。

实验结果表明，ACL可以有效地过滤和限制网络流量，提高网络的安全性和性能。

1. 引言随着互联网的快速发展，网络安全问题日益凸显。

为了保护网络免受恶意攻击和非法访问，ACL成为一种重要的网络安全工具。

ACL通过控制网络流量的进出，实现对网络资源的保护和管理。

本实验旨在通过配置ACL，探索其在网络安全中的应用。

2. ACL的基本概念ACL是一种用于控制网络流量的策略工具，它基于一系列规则对数据包进行过滤和限制。

ACL可以通过源IP地址、目标IP地址、协议类型、端口号等条件进行过滤，从而实现对网络流量的精确控制。

3. ACL的分类ACL根据其作用范围和工作方式的不同，可以分为以下几类：- 标准ACL：基于源IP地址进行过滤，适用于简单的网络环境。

它可以实现对特定源IP地址的流量进行控制，但无法对目标IP地址和协议类型进行过滤。

- 扩展ACL：除了源IP地址外，还可以根据目标IP地址、协议类型、端口号等条件进行过滤。

扩展ACL适用于复杂的网络环境，可以实现更精确的流量控制。

- 命名ACL：为ACL规则定义一个可读性强的名称，使得配置更加方便和可维护。

- 动态ACL：根据特定条件自动更新ACL规则，实现对网络流量的实时控制。

4. ACL的配置方法ACL的配置通常在网络设备（如路由器、防火墙）上进行。

具体配置方法如下：- 进入设备的配置模式，进入特定接口的配置模式。

- 创建ACL，并定义ACL规则。

可以使用数字或名称标识ACL。

- 配置ACL规则，包括源IP地址、目标IP地址、协议类型、端口号等条件。

- 将ACL应用到特定接口，使其生效。

5. ACL在网络安全中的应用ACL在网络安全中起到了重要的作用。

实验报告：ACL实验实验七：ACL实验实验⽬的1、掌握ACL的设计原则和⼯作过程2、掌握标准ACL的配置⽅法；3、掌握扩展ACL的配置⽅法；4、掌握两种ACL的放置规则5、掌握两种ACL调试和故障排除实验要求1、允许pc0特定主机访问⽹络2、.允许pc1所在⽹络访问⽹络；3、允许pc1所在⽹络访问www服务；4、给出具体的实验步骤和调试结果5、给出每台路由器上⾯的关于ACL配置清单。

实验拓扑（可选）给出本次实验的⽹络拓扑图，即实际物理设备的连接图。

实验设备（环境、软件）4台路由器，2台PC机，⼀台www服务器实验设计到的基本概念和理论访问控制列表（Access Control List，ACL）是路由器和交换机接⼝的指令列表，⽤来控制端⼝进出的数据包。

ACL适⽤于所有的被路由协议，如IP、IPX、AppleTalk等。

这张表中包含了匹配关系、条件和查询语句，表只是⼀个框架结构，其⽬的是为了对某种访问进⾏控制。

ACL可以限制⽹络流量、提⾼⽹络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制⼿段。

例如，ACL可以限定或简化路由更新信息的长度，从⽽限制通过路由器某⼀⽹段的通信流量。

ACL是提供⽹络安全访问的基本⼿段。

ACL允许主机A访问⼈⼒资源⽹络，⽽拒绝主机B访问。

ACL可以在路由器端⼝处决定哪种类型的通信流量被转发或被阻塞。

例如，⽤户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

实验过程和主要步骤1．分别配置路由器0、1、2、3和PC机0、1和www服务器的ip地址Router0Router1Router2Router3PC0PC1服务器Ip：192.168.1.22.分别为每个路由器配置ospf协议Router0：Router(config)#route ospf 100 area 0 network 192.168.2.0 255.255.255.0 network 192.168.3.0 255.255.255.0network192.168.5.0 255.255.255.0 Router1：Router(config)#route ospf 100 area 0 network 192.168.1.0 255.255.255.0 network 192.168.2.0 255.255.255.0 Router2：Router(config)#route ospf 100 area 0 network 192.168.3.0 255.255.255.0 network 192.168.4.0 255.255.255.0 Router3：Router(config)#route ospf 100 area 0 network 192.168.5.0 255.255.255.0 network 192.168.6.0 255.255.255.0 3. 允许pc0特定主机访问外部⽹络4. 允许pc1所在⽹络访问⽹络5. 允许pc1所在⽹络访问www服务6.PC0 能ping通服务器，⽽且能访问www服务Ping通服务器访问www服务7．对于PC1来说，不能ping通服务器，但是能访问www服务：⼼得体会通过这次试验，我对于⽤主机配置路由器有了⼀定的了解，也初步掌握了Cisco Packet Tracer的使⽤⽅法，这次试验让我懂了访问控制列表ACL概念以及它的配置，也知道了动态路由协议的优点与缺点，学会了对⽹络进⾏规划和配置，也使我明⽩了想要学好⽹络知识必须经过不断的实践才能真正的理解其思想。

实验1：标准ACL一实验目的通过本实验可以掌握：（1）ACL设计原则和工作过程（2）定义标准ACL（3）应用ACL（4）标准ACL调试二拓扑结构三实验步骤（1）步骤1：配置路由器R1Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int fa 0/0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#int fa 0/1R1(config-if)#ip add 172.16.1.0 255.255.255.0Bad mask /24 for address 172.16.1.0R1(config-if)#ip add 172.16.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state toupR1(config-if)#int s0/0/0R1(config-if)#ip add 192.168.12.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exitR1(config)#router eigrp 1R1(config-router)#network 10.1.1.0 0.0.0.255R1(config-router)#network 172.16.1.0 0.0.0.255R1(config-router)#network 192.168.12.0R1(config-router)#no auto（2）步骤2：配置路由器R2Router>enRouter#conftEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip add 192.168.12.2 255.255.255.0R2(config-if)#no shutR2(config-if)#%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR2(config-if)#int s0/0/1R2(config-if)#ip add 192.168.23.2 25%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up5 R2(config-if)#ip add 192.168.23.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config)#int lo0R2(config-if)#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R2(config-if)#ip add 2.2.2.2 255.255.255.0R2(config-if)#exitR2(config)#router eigrp 1R2(config-router)#network 2.2.2.0 0.0.0.255R2(config-router)#network 192.168.12.0 0.0.0.255R2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#network 192.168.23.0 0.0.0.255R2(config-router)#no auto-summaryR2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#exitR2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义标准ACLR2(config)#access-list 1 permit anyR2(config)#interface s0/0/0R2(config-if)#ip access-group 1 in //在接口上开启ACLR2(config-if)#access-list 2 permit 172.16.3.1 //定义标准ACLR2(config)#line vty 0 4R2(config-line)#access-class 2 in //在vty上开启ACLR2(config-line)#password ciscoR2(config-line)#login（3）步骤3：配置路由器R3Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R3R3(config)#int fa 0/0R3(config-if)#ip add 172.16.3.3 255.255.255.0R3(config-if)#no shutR3(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR3(config-if)#int s0/0/1R3(config-if)#ip add 192.168.23.3 255.255.255.0R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to upR3(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to upR3(config-if)#exitR3(config)#router eigrp 1R3(config-router)#network 172.16.3.0 0.0.0.255R3(config-router)#network 192.168.23.0 0.0.0.255%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: newadjacencyR3(config-router)#no auto-summary%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: new adjacency四实验调试在PC1网络所在主机上ping 2.2.2.2，应该通，在PC2网络所在的主机上ping 2.2.2.2 应该不通，在主机PC3上Telnet 2.2.2.2，应该成功。

实验一标准ACL
需求：拒绝PC2所在网段访问路由器R2,同时只允许主机PC3访问路由器R2的TELNET服务。

整个网络配置EIGRP保持的连通性
R2上关键配置
access-list 10 deny 20.1.1.0 0.0.0.255 access-list 10 permit any
access-list 20 permit 211.1.23.0 0.0.0.255 interface Serial1/3
ip address 211.1.12.2 255.255.255.0
ip access-group 10 in
line vty 0 4
password cisco
login
access-class 20 in
show ip access-lists
show ip interface
实验二扩展ACL
要求只允许R1上的Lo 2接口访问路由器R2的WWW和TELNET服务，并拒绝
R4上的Lo 1接口PING路由器R2
思考：（1）本地产生的数据包不会被过滤
（2）ICMP数据包的源目地址问题
（1）参数“log”会生成相应的日志信息，用来记录经过ACL 入口的数据包的情况；
（2）尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上，这样创建的过滤器就不会反过来影响其它接口上的数据流。

另外，尽量使标准的访问控制列表靠近目的，由于标准访问控制列表只使用源地址，如果将其靠近源会阻止数据包流向其他端口。

扩展访问控制列表尽量靠近源位置，标准访问控制列表尽量靠近目的位置。