实例操作：路由器ACL实验过程详细讲解

ACL实验配置的实验报告ACL实验配置的实验报告一、引言网络安全是当今互联网时代的重要议题之一。

为了保护网络资源的安全性，许多组织和个人采取了访问控制列表（Access Control List，简称ACL）的配置方法。

本文将介绍ACL实验配置的实验报告，探讨ACL在网络安全中的应用和效果。

二、实验目的本次实验旨在通过配置ACL来控制网络流量，实现对特定IP地址或端口的访问控制。

通过实验，我们将了解ACL的基本原理和配置方法，并评估ACL在网络安全中的实际效果。

三、实验环境本次实验使用了一台具备路由器功能的设备，该设备支持ACL功能。

我们将在该设备上进行ACL配置和测试。

四、实验步骤1. 配置ACL规则我们首先登录到设备的管理界面，进入ACL配置页面。

根据实验要求，我们配置了两条ACL规则：- 允许特定IP地址的访问：我们设置了一条允许来自IP地址为192.168.1.100的主机访问的规则。

- 阻止特定端口的访问：我们设置了一条阻止访问端口号为80的规则，以模拟对HTTP协议的限制。

2. 应用ACL规则配置完ACL规则后，我们将其应用到设备的出口接口上。

这样，所有经过该接口的流量都将受到ACL规则的限制。

3. 测试ACL效果为了验证ACL的效果，我们进行了以下测试：- 尝试从IP地址为192.168.1.100的主机访问设备，结果显示访问成功，符合我们的预期。

- 尝试从其他IP地址访问设备，结果显示访问被拒绝，ACL规则起到了限制作用。

- 尝试访问设备的80端口，结果显示访问被拒绝，ACL规则成功限制了对HTTP协议的访问。

五、实验结果与分析通过实验，我们成功配置了ACL规则，并验证了ACL在网络安全中的实际效果。

ACL能够限制特定IP地址或端口的访问，从而提高网络资源的安全性。

通过合理配置ACL规则，可以防止未经授权的访问和攻击，保护网络的机密性和完整性。

六、实验总结ACL在网络安全中起到了重要的作用。

路由器配置实验：配置实现ACL一、实验目的1．熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。

2．掌握使用show access-list，show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。

3．能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的网络拓扑图，并能实现拓扑的物理连接4．熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法二、实验环境PC机一台，并安装PACKET TRACER 5.0或以上版本三、实验步骤1.每人一机，安装并配置Cisco Packet Tracer V5.00模拟配置工具2.在Cisco Packet Tracer V5.00模拟配置路由器中通过添加和连接设备构建出本实验的实际相应的拓扑实验拓扑：3、逐个单击网络拓扑图中的每台设备，进入设备的命令交互操作，进行工作模式的切换和选择4、利用命令检查设备的相关配置及信息5、联系使用路由器/交换机IOS提供的CLI帮助系统和常用编辑功能键6、在 Cisco Packet Tracer V5.0模拟配置工具中，依据绘制的出的本实验的网络拓扑图，进行相应的设备基本呢配置及配置检查测试四、实验过程Step1：利用Cisco Packet Tracer V5.0模拟配置工具绘制本实验的拓补图Step2: 配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200)Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1)Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)Step15:配置R1的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 1.1.1.3、子网掩码: 255.255.255.0、激活端口: no shutdown）Step16:配置R1的Fastethernet0/1端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 2.2.2.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step17:配置R1的Serial0/0端口；（IP地址、子网掩码、封装WAN协议帧格式、激活端口）（IP地址：3.3.3.1、子网掩码：255.255.255.252、封装W AN协议帧格式：encap PPP、激活端口：no shut）Step18:配置R2的Serial0/0端口；（时钟频率、IP地址、子网掩码、封装WAN协议帧格式、激活端口）（时钟频率：clock rate 64000、IP地址：3.3.3.2、子网掩码：255.255.255.252、封装W AN 协议帧格式：encap PPP、激活端口：no shut）Step19:配置R2的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 4.4.4.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step20:测试当前各PC设备至各节点的连通性并记录下来。

acl配置实验报告ACL配置实验报告一、实验目的本实验旨在通过配置ACL（Access Control List）来实现对网络设备的访问控制，保护网络安全，限制非授权用户的访问权限，提高网络设备的安全性。

二、实验环境本次实验使用了一台路由器和多台主机，通过配置ACL来限制主机对路由器的访问权限。

三、实验步骤1. 首先，登录路由器，进入配置模式。

2. 创建ACL，并定义访问控制列表的规则。

可以通过指定源IP地址、目的IP地址、协议类型、端口等条件来限制访问。

3. 将ACL应用到路由器的接口上，实现对该接口的访问控制。

4. 测试ACL的效果，尝试从不同的主机访问路由器，验证ACL是否生效。

四、实验结果经过配置ACL后，我们成功限制了某些主机对路由器的访问权限，只允许特定的主机进行访问。

ACL的规则生效，非授权主机无法访问路由器，有效保护了网络设备的安全。

五、实验总结通过本次实验，我们深入了解了ACL的配置和应用，学会了如何通过ACL来实现对网络设备的访问控制。

ACL是网络安全的重要手段之一，能够有效保护网络设备的安全，限制非授权用户的访问权限，提高网络的安全性。

六、实验感想ACL的配置虽然需要一定的技术和经验，但是通过实验的学习和实践，我们对ACL有了更深入的理解，掌握了ACL的配置方法和应用技巧。

在今后的网络管理和安全工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

七、展望ACL作为网络安全的重要手段，将在未来的网络管理和安全工作中发挥越来越重要的作用。

我们将继续深入学习ACL的相关知识，不断提升自己的技术水平，为网络安全做出更大的贡献。

通过本次实验，我们对ACL的配置和应用有了更深入的了解，相信在今后的学习和工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

ACL配置实验报告至此完毕。

路由器ACL实验详细过程讲解实验拓扑图：实验环境说明：1、将路由器R1的Fa0/0接口的ip设为：192.168.0.1/24；将S1/2接口的ip设为：192.168.1.1/24；2、将路由器R2的Fa0/0接口的ip设为：192.168.2.2/24；将S1/2接口的ip设为：192.168.1.2/24；3、将路由器R3的Fa0/0接口的ip设为：192.168.0.3/24；关闭其路由功能，模拟PC使用；实验结果要求:1、在R2上做访问控制列表，使R3不能telnet到R2；2、在R1上做访问控制列表，使R1不能ping通R2 。

实验环境的基本配置：R1配置清单：1、为R1的Fa0/0接口配置IP，并设为全双工模式：R1(config)#int fa0/0R1(config-if)#speed 100R1(config-if)#duplex fullR1(config-if)#ip add 192.168.0.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exit2、为R1的S1/2接口配置IP：R1(config)#int s1/2R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR2的配置清单：1、为R2的Fa0/0接口配置IP，并设为全双工模式：R2(config)#int fa0/0R2(config-if)#speed 100R2(config-if)#duplex fullR2(config-if)#ip add 192.168.2.2 255.255.255.0R2(config-if)#no shutR2(config-if)#exit 2、为R2的S1/2接口配置IP：R2(config)#int s1/2R2(config-if)#ip add 192.168.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#exit3、在R2上增加一条静态路由以实现和R3通信：R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.14、在R2上设置用户密码和线路密码，为下一步的telnet服务：R2(config)#enable password 123456R2(config)#line vty 0 4R2(config-line)#password 123456R3的配置清单：R3(config)#no ip routing //关闭路由功能，模拟PCR3(config)#int fa0/0R3(config-if)#speed 100R3(config-if)#duplex fullR3(config-if)#ip add 192.168.0.3 255.255.255.0R3(config-if)#no shutR3(config-if)#exitSW1的配置清单：分别将fa1/13、fa1/14、fa1/15接口设为全双工模式：SW1(config)#int fa1/13SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#exitSW1(config)#int fa1/14SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#exitSW1(config)#int fa1/15SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#exit所有的基本配置完成后，我们测试从R3tenlnet到R2,结果如下：R3#telnet 192.168.1.2Trying 192.168.1.2 ... Open User Access VerificationPassword:R2>enPassword:R2#exit[Connection to 192.168.1.2 closed by foreign host] 上面的结果说明我们的配置是正确的，现在我们就来在R2上配置访问控制列表，以实现“R3 不能telnet到R2”的实验要求。

实验11：在路由器上配置访问控制（ACL ）实验一、实验目的1、 理解ACL 的原理2、 掌握在路由器上配置ACL 的方法二、实验设备计算机中安装了Boson NetSim 网络模拟软件三、实验原理及内容IP ACL 实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性四、实验步骤1、使用Boson Network Designer 设计如下的网络拓扑图，并导入到Boson NetSim 中 （注意：这里的路由器应选择2621型号）2、按照实验目的的拓朴图对网络进行配置（过程略）3、配置Router1、Router2的动态路由Router1(config)#route ripRouter1(config-route)#version 2PC2PC1PC3 Router1 Router2192.168.1.1/24 F0/1S0/0 S0/0 F0/0 F0/0192.168.1.2/24192.168.2.1/24 192.168.2.2/24 192.168.3.1/24 192.168.3.2/24 192.168.4.1/24192.168.4.2/24Router1(config-route)#network 192.168.1.0Router1(config-route)#network 192.168.2.0Router1(config-route)#network 192.168.3.0Router2(config)#route ripRouter2(config-route)#version 2Router2(config-route)#network 192.168.3.0Router2(config-route)#network 192.168.4.0（配置Router1、Router2的静态路由Router1(config)# ip router 192.168.4.0 255.255.255 s0/0Router2(config)# ip router 192.168.1.0 255.255.255 s0/0Router2(config)# ip router 192.168.2.0 255.255.255 s0/0）4、配置IP ACLRouter2(config)#access-list 1 deny 192.168.2.0 0.0.0.255 否认,不准Router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255 允许5、应用IP ACL1）Router2(config)#interface f0/02）Router2(config)#ip access-group 1 out 在接口出栈流调用6、验证测试(进入PC1)1）ping 192.168.4.2问题：能否ping通? 能(进入PC2)2）ping 192.168.4.2问题：能否ping通? 不能。

实验二ACL简单配置1.实验要求网络结构如下图1所示，路由器Ra有两个快速以太网接口连接内网，分别是Fa0/0 : 210.31.10.0/24，Fa0/1 : 210.31.20.0/24；路由器Ra通过串行接口s0/0/0连接到Rb的串行接口s0/0/0；路由器Rb的快速以太网接口Fa0/0与两台服务器相连。

Ra路由器一端的内网用户可以通过Ra和Rb访问服务器。

2.实验目的熟练掌握IP访问控制列表（ACL）的配置方法。

(1)标准ACL配置方法：●ACCESS-LIST access-list-number{DENY|PERMIT|REMARK} protocol sourcesource-wildcard destination destination-wildcard option●IP ACCESS-GROUP access-list-number {IN|OUT}(2)扩展ACL配置方法：●ACCESS-LIST access-list-number{DENY|PERMIT|REMARK} protocol sourcesource-wildcard destination destination-wildcard option●IP ACCESS-GROUP access-list-number {IN|OUT}3.实验设备Devices PC Server Server Router SwitchType * DNS WWW 2811 2950-24Quantity 4 1 1 2 24.实验拓扑图图1 实验拓扑图5.实验任务1)如上拓扑结构图将设备连接好；2)配置各个PC机和Server的IP，将配置好的IP填到下表：Devices IP Subnet-mask GatewayPC1 210.31.10.1 255.255.255.0 210.31.10.254PC2 210.31.10.2 255.255.255.0210.31.10.254PC3 210.31.20.1 255.255.255.0 210.31.20.254PC4 210.31.20.2 255.255.255.0 210.31.20.254DNS 192.168.1.1 255.255.255.0 192.168.1.254WWW 192.168.1.2 255.255.255.0 192.168.1.2543)配置路由器的各个接口的IP地址（路由器的路由协议已经配置好）：Devices S0/0/0 Fa0/0 Fa0/1 Ra 10.0.0.1 210.31.10.254 210.31.20.254Rb 10.0.0.2 192.168.1.254Ra 路由：Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface fa0/0Router(config-if)#ip address 210.31.10.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#interface fa0/1Router(config-if)#ip address 210.31.20.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Router(config-if)#interface se0/0/0Router(config-if)#ip address 10.0.0.1 255.0.0.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downRouter(config-if)#Rb 路由：Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface fa0/0Router(config-if)#ip address 192.168.1.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#interface se0/0/0Router(config-if)#ip address 10.0.0.2 255.0.0.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upRouter(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up Router(config-if)#4)用ping命令测试各个设备的物理联通性；PC>ping 210.31.10.2Pinging 210.31.10.2 with 32 bytes of data:Reply from 210.31.10.2: bytes=32 time=141ms TTL=128Reply from 210.31.10.2: bytes=32 time=59ms TTL=128Reply from 210.31.10.2: bytes=32 time=62ms TTL=128Reply from 210.31.10.2: bytes=32 time=33ms TTL=128Ping statistics for 210.31.10.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 33ms, Maximum = 141ms, Average = 73msPC>ping 210.31.20.1Pinging 210.31.20.1 with 32 bytes of data:Request timed out.Reply from 210.31.20.1: bytes=32 time=125ms TTL=127Reply from 210.31.20.1: bytes=32 time=78ms TTL=127Reply from 210.31.20.1: bytes=32 time=125ms TTL=127Ping statistics for 210.31.20.1:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 78ms, Maximum = 125ms, Average = 109msPC>ping 210.31.20.2Pinging 210.31.20.2 with 32 bytes of data:Request timed out.Reply from 210.31.20.2: bytes=32 time=125ms TTL=127Reply from 210.31.20.2: bytes=32 time=125ms TTL=127Reply from 210.31.20.2: bytes=32 time=90ms TTL=127Ping statistics for 210.31.20.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 90ms, Maximum = 125ms, Average = 113msPC>ping 192.168.1.1Pinging 192.168.1.1 with 32 bytes of data:Request timed out.Reply from 192.168.1.1: bytes=32 time=125ms TTL=126Reply from 192.168.1.1: bytes=32 time=125ms TTL=126Reply from 192.168.1.1: bytes=32 time=156ms TTL=126Ping statistics for 192.168.1.1:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 125ms, Maximum = 156ms, Average = 135ms5）系统调试期间，①禁止PC1访问Rb路由器一端的服务器，其他PC机均能访问；②只允许210.31.20.0/24网段访问Rb路由器内部Server2的WWW服务，拒绝访问该服务器上的其他服务；③禁止192.168.1.0/24网段的ICMP协议数据包通向210.31.20.0/24网段。

ACL技术原理浅析及实例ACL（Access Control List）是网络安全中用于实现访问控制的一种技术，它通过对网络流量进行过滤，只允许特定的用户、IP 地址、端口等可以通过网络。

通常，ACL技术应用于路由器、交换机、防火墙等网络设备中。

ACL主要基于两种原理：允许列表和拒绝列表。

允许列表是指只有特定的用户、网络地址、端口等得到许可，其他所有的流量都被阻挡。

拒绝列表则是指特定的用户、网络地址、端口等被拒绝，其他所有的流量都被允许通过。

通常情况下，ACL的实现是基于拒绝列表，因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。

ACL可以应用于多种场景中，其中最常见的场景是网络边缘（如路由器和交换机）和防火墙控制。

以下是两个ACL实例：实例1：路由器ACL假设你有一个位于本地网络上的路由器，你需要保护其免受身份验证失败的攻击。

为了实现这一点，你可以使用ACL来控制每个进入该路由器的IP数据包。

为了创建ACL，你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表（standard IP extended access list）。

有了这个列表，你可以控制进入该路由器的每个数据包，以便仅允许经过授权的用户通过访问。

以下是创建标准IP扩展访问列表的示例命令：access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器，同时拒绝来自其他网络或单个IP地址的流量。

实例2：防火墙ACL假设你拥有一个防火墙来保护公共网络的安全，你需要实现对特定IP地址和端口的访问控制。

为了实现这个目标，你可以使用ACL来过滤掉所有未经授权的访问请求。

你需要创建一个标准ACE （Access Control Entry）列表，该列表包含允许和拒绝访问的IP地址、端口等信息。

以下是创建标准ACE列表的示例命令：access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问，同时拒绝所有其他来源的80端口访问请求。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

实验四：访问控制列表（ACL）配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

2、访问控制列表的分类：1. 基本的访问控制列表（basic acl）2.高级的访问控制列表（advanced acl）3.基于接口的访问控制列表（interface-based acl）4. 基于MAC的访问控制列表（mac-basedacl）三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：可以飞鸽传书，可以PING通对方IP实验结果截图如下测试二：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：Router A/B这一组是通过配置AR28-1的ACL，使用与Router C/D这一组的PC机的飞鸽传书不能传输数据，可以发送聊天信息，可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答：ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。

每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。

由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

ACL案例及说明技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

该网络的拓朴如下图所示：自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

acl的配置实验报告《ACL配置实验报告》在计算机网络中，ACL（Access Control List）是一种用于控制网络流量的重要工具。

通过ACL的配置，管理员可以限制特定IP地址、端口或协议的访问权限，从而提高网络安全性和管理效率。

本实验旨在通过对ACL的配置实验，探讨ACL在网络安全中的应用和作用。

实验环境：- 实验使用了一台基于Cisco设备的路由器作为实验平台。

- 实验中使用了两台主机，分别代表内部网络和外部网络。

- 实验中涉及到了基于IP地址和端口的ACL配置。

实验步骤：1. 首先，我们在路由器上创建了两条ACL，分别用于允许和拒绝特定IP地址的访问。

2. 然后，我们将这两条ACL应用到路由器的入站和出站接口上，以控制内部网络和外部网络的访问权限。

3. 接着，我们进行了基于端口的ACL配置，限制了特定端口的访问权限。

4. 最后，我们进行了实际的访问测试，验证ACL配置的有效性和准确性。

实验结果：通过ACL的配置实验，我们成功地实现了对特定IP地址和端口的访问控制。

在实验中，我们发现ACL可以有效地限制网络流量，提高网络安全性。

同时，ACL的配置也为网络管理提供了更多的灵活性和控制权，使得管理员可以根据实际需求对网络流量进行精细化管理。

结论：ACL作为一种重要的网络安全工具，在网络管理和安全中起着不可替代的作用。

通过ACL的配置实验，我们深入了解了ACL的工作原理和应用方法，对网络安全有了更深入的理解。

未来，我们将进一步探索ACL在不同网络环境下的应用，并加强对ACL配置的实践操作，以提升网络安全管理水平。

ACL配置实验报告到此结束。

实验三：路由器标准ACL配置一、实验目的:1. 路由器1.、路由器2、路由器3互连。

2. 配置标准ACL。

二、实验要求:拒绝PC2所在网段访问路由器R2，同时只允许主机PC3访问路由器R2 的Telnet 服务。

整个网络配置EIGRP保证IP的连通性。

三、实验步骤:1.首先在模拟器中构建出网络拓扑结构如下：2.分别配置路由器R1,R2,R3（同实验二）3.配置标准ACL，要求如下：整个网络配置EIGRP保证IP的连通性。

拒绝PC2所在网段访问路由器R2，同时只允许主机PC3访问路由器R2 的Telnet 服务。

路由协议EIGRP配置命令如下(eg:Router1)：Router#conf tRouter(config)#router eigrp 1Router(config-router)#net 192.168.3.0 0.0.0.255Router(config-router)#net 192.5.5.0 0.0.0.255Router(config-router)#net 201.100.11.0Router(config-router)#no autoRouter(config-router)#no auto-summaryRouter(config-router)# ^Z标准ACL配置命令如下(Router2):Router#conf tRouter(config)#access-list 1 deny 192.5.5.0 0.0.0.255 Router(config)#access-list 1 permit anyRouter(config)#int s0/0/1Router(config-if)#ip access-group 1 inRouter(config-if)#access-list 2 permit 223.8.151.3 Router(config)#line vty 0 4Router(config-line)#access-class 2 inRouter(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#^ZRouter#四、实验结果/调试1.Router2 ACL2.PC1网络主机3.PC2网络主机4.PC3网络主机五、实验小结通过这个实验，我进一步了解了对访问控制列表的理解，在同学的帮助下我对ip 地址以及rip协议相关的知识。

ACL原理及配置实例ACL是Access Control List的缩写，即访问控制列表，是网络设备上用来限制网络流量的一种功能。

ACL可以根据不同的条件对网络流量进行过滤和控制，以实现网络安全策略的目的。

ACL工作原理：ACL通过一个规则列表来决定对流量的处理方式，这个规则列表包含了匹配条件和动作两部分。

ACL会逐条匹配流量，并根据匹配结果执行相应的动作，通常包括允许、拒绝或者重定向到特定的目标地址。

ACL的规则列表按照优先级从高到低依次进行匹配，一旦匹配成功则不再进行后续的匹配。

因此，规则列表的顺序非常重要，应该将最常匹配的规则放在前面，这样可以提高ACL的效率。

ACL的配置实例：下面以思科路由器为例，演示ACL的配置过程。

1.创建一个ACL：首先，需要创建一个ACL用于定义规则列表。

ACL可以基于源地址、目标地址、源端口、目标端口、协议等条件进行过滤。

```Router(config)# ip access-list extended ACL_NAME```ACL_NAME是ACL的名称，可以自定义。

2.添加规则到ACL：在ACL中添加规则，来定义对网络流量的过滤行为。

每个规则都可以包含多个条件和一个动作。

```Router(config-ext-nacl)# permit/deny protocol source-address source-wildcarddestination-address destination-wildcard [operator [port]]```其中，protocol表示协议类型，可以是tcp、udp、icmp等；source-address和destination-address表示源地址和目标地址；source-wildcard和destination-wildcard表示源地址和目标地址的通配符掩码；operator表示具体的操作符，可以是eq、gt、lt、range等；port表示端口号或范围。

实验四ACL 、NAT注：实验报告分别有标准ACL、拓展ACL、静态NAT、动态NAT、PAT 配置五部分。

【实验任务一】标准ACL1.实验目的（1）掌握ACL 设计原则和工作过程（2）掌握定义标准ACL（3）掌握应用ACL（4）掌握标准ACL 调试2.实验内容及要求实验拓扑如图如下：【实现内容】：本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET 服务。

整个网络配置EIGRP（或OSPF）保证IP 的连通性。

【实验分析】：补充：标准ACL最简单，是通过使用IP包中的源IP地址进行过滤，表号范围1-99或1300-1999。

配置ACL之前先保证所有网段网络之间能够互通，然后再进行ACL配置。

实现网段互通我采用OSPF路由协议，它是一种开放式最短路径优先协议，顾名思义我们可以通过一些指定配置，如配置链路带宽来干预它的路由路径选择。

根据实验要求，集中在对R2上的访问控制，为保障实验操作简洁性，因此我们可以着手于R2上进行相应配置来实现。

【实验配置】：OSPF配置：（实现网络互通作用）R1:interface Serial0/0/0 //与R2之间相连接的链路串口ip address 192.168.12.1 255.255.255.0 //配置IP地址及掩码clock rate 64000 //串口线时钟端配置时钟频率interface Serial0/0/1ip address 192.168.23.1 255.255.255.0clock rate 64000 //串口线时钟端配置时钟频率router ospf 1 //ospf本地进程号log-adjacency-changes //激活路由协议邻接关系变化日志network 10.1.1.0 0.0.0.255 area 0 //宣告直连网络，骨干网络network 172.16.1.0 0.0.0.255 area 0 //are 0 表骨干区域网络network 192.168.12.0 0.0.0.255 area 0 //采用反掩码方式宣告R2：interface Loopback0 //创建回环接口ip address 2.2.2.2 255.255.255.0 //作为路由器网管IP及路由IDrouter ospf 1 //本地进程号network 192.168.23.0 0.0.0.255 area 0 //宣告直连网络，下同network 192.168.12.0 0.0.0.255 area 0network 2.2.2.0 0.0.0.255 area 0远程管理配置enable password cisco //特权模式密码，还可采用secret配置line vty 0 2 //允许三条线路进行管理access-class 2 in //只允许list 2内的网络访问配置password cisco //telnet密码login //启用,生效R3：router ospf 1network 192.168.23.0 0.0.0.255 area 0network 172.16.3.0 0.0.0.255 area 0 //R3只需宣告两个直连网络标准ACL配置R2：拒绝PC2所在网络远程接入:access-list 1 deny 172.16.1.0 0.0.0.255 //拒绝172.16.1.0网络access-list 1 permit any //除指定网络，其余地址允许access-list 2 permit host 172.16.3.2 //只允许的主机IP地址interface Serial0/0/0 //PC2在s0/0/0方向在端口s0/0/0下配置ip address 192.168.12.2 255.255.255.0 //配置ip地址ip access-group 1 in //在端口指定ACL列表1，方向为”进”【实验测试】拒绝PC2 所在网段访问路由器R2：FastEthernet0 Connection:(default port)IP Address......................: 172.16.1.2PC>ping 2.2.2.2Pinging 2.2.2.2 with 32 bytes of data:Reply from 192.168.12.2: Destination host unreachable.Reply from 192.168.12.2: Destination host unreachable.…PC2在R1路由表健全的情况下进行访问R2也是主机不可达，因此实验是成功的。

一、实验目的
1、掌握路由器静态路由的配置方法；
2、了解什么是标准的ACL和扩展的ACL；
3、了解标准的ACL和扩展的ACL有什么不同；
4、掌握标准的ACL和扩展的ACL的实现方法。

二、实验的网络拓扑结构图
三、实验内容
1．按上述图示建立网络实验拓扑结构，并规划好交换机各VLAN 的端口及IP地址，交换机各VLAN的IP地址采用192.168.10.0/24，并将IP地址标记到网络拓扑结构图上；
2．在Server0和Server1上启动FTP和WWW服务；
3．配置PC机和SERVER的IP地址，配置好各交换机的静态路由表，实现每一台PC之间的网络访问；
4．在交换机上建立标准的ACL，要求实现禁止PC0所在网段访问PC1、Server0和Server1所在的网段，同时禁止PC3访问所有的网段，禁止PC2所在的网段去访问 Server0和PC1所在的网段。

H3C路由器高级ACL配置案例1. 组网需求禁止计算机通过TELNET登陆到路由器，路由器的Ethernet0/0端口IP为192.168.0.1/24，计算机的IP为192.168.0.2/24。

2. 组网图图1-1 访问控制典型配置举例3. 配置步骤(1) 路由器以太网地址<H3C> system-view[H3C] int e0/0[H3C-interface0/0] ip add 192.168.0.1 24[H3C]user-interface vty 0[H3C-ui-vty0]authentication password[H3C-ui-vty0]set authentication password simple 123456[H3C-ui-vty0]user privilege level 3(2) 定义ACL# 进入ACL3000视图。

[H3C] acl number 3000# 定义访问规则。

[H3C-acl-adv-3000] rule deny tcp source 192.168.0.2 0 destination 192.168.0.1 0 destination-port eq 23[H3C-acl-adv-3000] quit(3) 在路由器上启动防火墙功能[H3C] firewall enable(4) 在端口上应用ACL# 在端口上应用ACL 3000。

[H3C] interface ethernet0/0[H3C-Ethernet0/0] firewall packet-filter 3000 inbound4.测试方法（1）计算机上ping交换机的管理IP：telnet 192.168.0.1 （结果不通）（2）但是把计算机接到交换机的其他端口，如：ethernet1/0/3，则，telnet 192.168.0.1 （结果通）。

标准ACL的基本应用实例一、实验背景随着BENET公司网络建设的开展，对网络的安全性也要求越来越高，需要在路由器上应用访问控制列表进行控制作为网络管理员，需要设计访问控制条件，对通过路由器的数据包进行过滤一台路由器为外部路由器，一台路由器为公司内部路由器，下面连接两个网段：网段1（10.10.1.0/24）和网段2（10.10.2.0/24），对公司内网络和外部网络的通信进行控制。

二、实验拓扑三、实验拓扑图搭建四、实验要求1.根据拓扑图的标识，完成网络设备的基本配置，包括设备名、用户名和密码、特权密码和控制口登录配置等相关信息。

2.根据拓扑图的标识，完成网络设备的IP地址和子网掩码等相关信息的配置；3.根据拓扑图的标识，完成OSPF的配置，并为每一台网络设备指定Router-id的值。

利用Loopback 0的值作为Router-id的值，规划地址为192.168.1n.1/24；其中n为设备的编号。

4.配置ACL列表，实现在10.10.1.0/24的PC上，ping 172.16.1.10，测试结果是网络连通；在10.10.2.0/24的PC上，ping 172.16.1.10，测试结果是网络不能到达。

五、实验步骤1.根据拓扑图的标识，完成网络设备的基本配置，包括设备名、用户名和密码、特权密码和控制口登录配置等相关信息。

以RO的配置为例。

Router>enable //进入特权模式Router#configure terminal //进入全局配置模式Router(config)#hostname R0 //设置主机名R0(config)#enable secret R0 //设置进入特权模式的密码R0(config)#username R0 secret R0 //设置用户名和密码R0(config)#line console 0 //进入控制口配置R0(config-line)#exec-timeout 10 //设置系统休眠时间为10分钟R0(config-line)#logging synchronous //设置光标跟踪同步R0(config-line)#login local //设置进入控制口的密码为本地用户模式R0(config-line)#exit //退出控制口的配置2.根据拓扑图的标识，完成网络设备的IP地址和子网掩码等相关信息的配置；（1）R0的接口配置R0(config)#interface GigabitEthernet0/0 //进入接口R0(config-if)#ip address 192.168.1.10 255.255.255.0 //配置接口IP地址和子网掩码R0(config-if)#interface GigabitEthernet0/1 //进入接口R0(config-if)#ip address 10.10.1.254 255.255.255.0 //配置接口IP地址和子网掩码R0(config-if)#interface GigabitEthernet0/2 //进入接口R0(config-if)#ip address 10.10.2.254 255.255.255.0 //配置接口IP地址和子网掩码（2）R1的接口配置R1(config)#interface GigabitEthernet0/0 //进入接口R1(config-if)#ip address 192.168.1.1 255.255.255.0 //配置接口IP地址和子网掩码R1(config-if)#interface GigabitEthernet0/1 //进入接口R1(config-if)#ip address 172.16.1.254 255.255.255.0 //配置接口IP地址和子网掩码（3）R2的接口配置R2(config)#interface GigabitEthernet0/0R2(config-if)#ip address 192.168.1.2 255.255.255.0 //配置接口IP地址和子网掩码R2(config-if)#interface GigabitEthernet0/1R2(config-if)#ip address 172.16.2.254 255.255.255.0 //配置接口IP地址和子网掩码（4）R3的接口配置R3(config)#interface GigabitEthernet0/0 //进入接口R3(config-if)#ip address 192.168.1.3 255.255.255.0 //配置接口IP地址和子网掩码R3(config-if)#interface GigabitEthernet0/1 //进入接口R3(config-if)#ip address 172.16.3.254 255.255.255.0 //配置接口IP地址和子网掩码（5）R4的接口配置R4(config)#interface GigabitEthernet0/0 //进入接口R4(config-if)#ip address 192.168.1.4 255.255.255.0 //配置接口IP地址和子网掩码R4(config-if)#interface GigabitEthernet0/1 //进入接口R4(config-if)#ip address 172.16.4.254 255.255.255.0 //配置接口IP地址和子网掩码（6）R5的接口配置R5(config)#interface GigabitEthernet0/0 //进入接口R5(config-if)#ip address 192.168.1.5 255.255.255.0 //配置接口IP地址和子网掩码R5(config-if)#interface GigabitEthernet0/1 //进入接口R5(config-if)#ip address 172.16.5.254 255.255.255.0 //配置接口IP地址和子网掩码3.测试8个局域网内部的连通性（1）测试R0到PC6之间的连通性（2）测试R0到PC7之间的连通性（3）测试R0到R1的G0/0之间的连通性（4）测试R0到R2的G0/0之间的连通性（5）测试R0到R3的G0/0之间的连通性（6）测试R0到R4的G0/0之间的连通性（7）测试R0到R5的G0/0之间的连通性（8）测试R5到PC5之间的连通性（9）测试R4到PC4之间的连通性（10）测试R3到PC3之间的连通性（11）测试R2到PC2之间的连通性（12）测试R1到PC1之间的连通性4.根据拓扑图的标识，完成OSPF的配置，并为每一台网络设备指定Router-id的值。

8.1 配置IP 标准ACL8.1.1 实验目的配置标准IP ACL；λ查看ACL信息。

λ8.1.2 实验配置本实验需要以下设备（以1组为单位）：1台PC机，安装有Telnet组件；λ2台Cisco 3620路由器；λλ 1条V.35DTE电缆，1条V.35DCE电缆；λ 1条5类UTP反序网线。

本实验的拓扑结构如图8-1所示。

R1为本地路由器，R2为远程路由器。

图8-1 网络拓扑结构8.1.3 实验内容在R2上配置串口S0/0，使用环回送接口L0模拟物理接口；λinterface serial 0/0ip address 10.1.1.2 255.255.255.0no shutdowninterface loopback 0ip address 10.1.2.1 255.255.255.0λ在R1上配置串口S0/0，并使其与R2的S0/0处于同一子网中；interface serial 0/0ip address 10.1.1.1 255.255.255.0no shutdown在R1上设置一条默认路由使其以R2为下一跳，测试到L0所在网段的连通性；λip route 0.0.0.0 0.0.0.0 10.1.1.2ping 10.1.2.1在R2上设计一个编号标准IPλACL使其在R1上不能ping到R2的L0所在的一个网段；access-list 1 deny host 10.1.1.1access-list 1 permit anyinterface serial 0/0ip access-group 1 inλ在R2上查看ACL信息，删除上述已建立的上述标准IP ACL，测试到L0所在网段的连通性。

show access-listsno access-list 1 deny host 10.1.1.1no access-list 1 permit anyinterface serial 0/0no ip access-group 1 inping 10.1.2.18.2 配置IP 扩展 ACL8.2.1 实验目的配置扩展IP ACLλ查看ACL信息λ8.2.2 实验配置同实验8.18.2.3实验内容在R2上配置环回接口L1，设计一个编号扩展IPλ ACL使其在R1上能ping到R2的L0所在的一个网段，但不能ping到R2的L1所在的另一个网段；interface loopback 1ip address 10.1.3.1 255.255.255.0access-list 100 permit icmp host 10.1.1.1 10.1.2.0 0.0.0.255access-list 100 deny icmp host 10.1.1.1 10.1.3.0 0.0.0.255interface serial 0/0ip access-group 100 inλ在R2上查看ACL信息，删除上述已建立的上述扩展IP ACL，测试到R2的L0所在网段的连通性；show access-listsno access-list 100 permit icmp host 10.1.1.1 10.1.2.0 0.0.0.255no access-list 100 deny icmp host 10.1.1.1 10.1.3.0 0.0.0.255 interface serial 0/0no ip access-group 100 inping 10.1.2.1ping 10.1.3.1λ在R2上设计一个基于地址和端口号的编号扩展IP ACL使R1通过Telnet方式能访问R2的L0所在的一个网段，但不能访问R2的L1所在的另一个网段；access-list 101 permit tcp host 10.1.1.1 10.1.2.0 0.0.0.255 eq 23 access-list 101 deny tcp host 10.1.1.1 10.1.3.0 0.0.0.255 eq 23 interface serial 0/0ip access-group 101 in在R2上查看ACL信息，删除已建立的上述扩展IP ACL，在R1上测试到R2的L0所在网段的连通性；λshow access-listsno access-list 101 permit tcp host 10.1.1.1 10.1.2.0 0.0.0.255 eq 23 establishedno access-list 101 deny tcp host 10.1.1.1 10.1.3.0 0.0.0.255 eq 23 interface serial 0/0no ip access-group 101 inping 10.1.2.18.3 配置IP 命名 ACL8.3.1 实验目的配置命名IP ACLλ查看ACL信息λ8.3.2 实验配置同实验8.18.3.3实验内容在R2上设计一个带established关键字的命名扩展IPλACL使R1通过Telnet 方式能访问R2的L0所在的一个网段；access-list extended wwwpermit tcp host 10.1.1.1 10.1.2.0 0.0.0.255 eq 23 established interface serial 0/0ip access-group www in在R2上查看ACL信息，删除已建立的上述扩展IPλ ACL，在PC机上测试到R2的L0所在网段的连通性；show access-listsno access-list extended wwwinterface serial 0/0no ip access-group www inping 10.1.2.1λ在R2上设计一个基于分段的带拒绝项的命名扩展IP ACL使R1通过Telnet 方式能访问R2的L0所在的一个网段；access-list extended wwwpermit tcp host 10.1.1.1 10.1.2.0 0.0.0.255 eq 23deny tcp any anyinterface serial 0/0ip access-group www inλ在R1上查看ACL信息，删除已建立的上述扩展IP ACL，在PC机上测试到R2的L0所在网段的连通性。

实验15 标准IP访问列表（ACL）【实验目的】掌握路由器上编号的标准IP访问列表规则及配置。

【背景描述】你是一个学校的网络管理员，学校的办公楼、教师宿舍和学生宿舍分属不同的3个网段,它们之间用路由器进行信息传递,为了安全起见,学校领导要求学生宿舍不能对办公楼进行访问，但教师宿舍可以对办公楼进行访问。

【实现功能】实现网段间互相访问的安全控制。

【实验设备】R2620路由器（软件中以2620×M代替，在2620×M中要增加一个NM-2E2W模块）(1台)、交叉线(3条)。

【实验拓扑图】【实验步骤】实验前应该先配置好主机的IP地址、子网掩码和默认网关。

请测试在未配置路由前三台PC是否可以连通。

1、配置路由器各接口的IP地址。

2、查看各接口状态，测试三台机器之间是否可以连通。

Router#show ip int brief//观察接口状态3、配置路由器标准IP访问控制列表。

第一步：拒绝来自172.16.2.0网段的流量通过第二步：允许来自172.16.1.0网段的流量通过4、验证测试：Router#show access-list 15、测试三台机器之间的连通性。

6、把访问控制列表在接口下应用。

考虑：应该在哪个接口应用限制出栈的流量7、测试验证接口的ACL列表。

Router#show ip interface 接口8、测试三台机器之间的连通性。

【注意事项】1.注意在访问控制列表的的反掩码。

2.标准控制列表要应用在尽量靠近目的地址的接口。

3.标准访问控制列表的编号是1-99。

一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。

三、实验设备PC 3台；Router-PT 3台；交叉线；DCE串口线；Server-PT 1台；四、实验步骤标准IP访问控制列表配置：新建Packet Tracer拓扑图（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置路由器接口IP地址。

（3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

（4）在R1上编号的IP标准访问控制。

（5）将标准IP访问控制应用到接口上。

（6）验证主机之间的互通性。

扩展IP访问控制列表配置：新建Packet Tracer拓扑图（1）分公司出口路由器与外路由器之间通过V.35电缆串口连接，DCE端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置PC机、服务器及路由器接口IP地址。

（3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才涉及到访问控制列表。

（4）在R2上配置编号的IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

五、实验结果标准IP访问控制列表配置：PC0：PC1：PC2：PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置：PC0：Server0：六、实验心得与体会实验中对ACL的配置有了初步了解，明白了使用ACL可以拒绝、允许特定的数据流通过网络设备，可以防止攻击，实现访问控制，节省带宽。

其对网络安全有很大作用。

另外，制作ACL时如果要限制本地计算机访问外围网络就用OUT，如果是限制外围网络访问本地计算机就用IN。

两者的区别在于他们审核访问的时候优先选择哪些访问权限。

如有侵权请联系告知删除，感谢你们的配合！。