实验七 标准IP访问控制列表配置

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

中北大学计算机与控制工程学院实验报告组号________ 学号 ____ ___ 姓名 ____ 实验时间__2014-_______ 课程名称：网络设备与集成辅导教师：韩慧妍【实验名称】IP访问控制列表的配置【实验任务】任务1：标准IP访问控制列表的配置实验任务2：配置PPP协议的CHAP单向认证实验任务3：命名的IP访问控制列表的配置实验任务1：标准IP访问控制列表的配置实验【实验目的】配置标准IP ACL，理解ACL的原理、功能和相关注意事项；掌握对指定主机和指定网络规划安全策略的方法；掌握标准IP ACL配置的相关命令。

【实验设备和连接】实验设备和连接如图所示：两台R1762路由器的两个FastEthernet接口各连接一个PC，路由器之间串口相连。

图1标准IP ACL的配置实验【实验分组】每四名同学为一组，其中每两人一小组，每小组各自独立完成实验。

【实验内容】步骤1：完成设备连接和路由器基本配置：R1762-1的配置为：router (config)# hostname R1 762-1 ！配置设备名R1762-1 (config)# interface fastEthernet 1/0 ! 配置fastethernet 1/0接口R1762-1 (config-if)# ip address 172.16.10.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-1 (config-if)# interface fastEthernet 1/1 ! 配置fastethernet 1/1接口R1762-1 (config-if)# ip address 172.16.11.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-1 (config-if)# interface serial 1/2 ! 配置Serial 1/2接口R1762-1 (config-if)# ip address 172.16.1.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-2的配置为：router (config)# hostname R1 762-2 ！配置设备名R1762-2 (config)# interface fastEthernet 1/0 ! 配置fastethernet 1/0接口R1762-2 (config-if)# ip address 172.16.20.1 255.255.255.0R1762-2 (config-if)# no shutdownR1762-2 (config-if)# interface fastEthernet 1/1 ! 配置fastethernet 1/1接口R1762-2 (config-if)# ip address 172.16.21.1 255.255.255.0R1762-2 (config-if)# no shutdownR1762-2 (config-if)# interface serial 1/2 ! 配置Serial 1/2接口R1762-2 (config-if)# ip address 172.16.1.2 255.255.255.0R1762-2 (config-if)# no shutdown配置完成后，可以使用show ip interface命令检查设备的接口配置，确定设备的接口配置完成，F1/0、F1/1和S1/2的状态为UP。

实验七 标准访问控制列表一、编号标准访问控制列表1．按图7-1将实验设备连接好。

图7-12．对PC 和路由器进行基本配置。

A. PC 机配置PC1的IP 地址为192.168.1.10，子网掩码为255.255.255.0，默认网关为192.168.1.1。

PC2的IP 地址为192.168.2.10，子网掩码为255.255.255.0，默认网关为192.168.2.1。

PC3的IP 地址为192.168.3.10，子网掩码为255.255.255.0，默认网关为192.168.3.1。

B.路由器基本配置R1(config)#interface fastethernet 1/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface fastethernet 1/1R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface serial 1/2R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#endR1#show ip interface brief R1#configure terminalR1(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2PC3 3.10192.168.3.0/24192.168.12.0/24PC1 R1R2F1/0 3.1S1/2 12.2S1/2 12.1R2(config)#interface fastethernet 1/0R2(config-if)#ip address 192.168.3.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exitR2(config)#interface serial 1/2R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#endR2#show ip interface brief R2#configure terminalR2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.13. 测试网络的连通性。

标准访问控制列表实验实验目的：通过标准访问控制列表的配置来实现禁止R2上的环回接口来PING R3上的环回接口。

实验要求：熟悉并且会做基本的访问控制列表的配置，明白访问控制列表的基本特性。

拓扑如图，接口的IP地址配置说下，R1上的S0为12.12.12.1. S1口为13.13.13.1。

R2上的S0口为12.12.12.2 LO0口为2.2.2.2。

R3上的S1口为13.13.13.3 LO0口为3.3.3.3。

我们先来分析下如何实现这个要求我们首先考虑下实现这个要求访问控制列表在那个接口上进行引用。

我们先来分析下在R2上的S0上是否可以引用如果可以是IN了还OUT。

R1上和R3上也是一样的。

这里先告诉大家R2上是不能配置的，因为访问控制列表只能对穿越的流量起控制作用对自己本身发起的流量起不了任何作用了。

R1和R3上的接口都可以引用。

这里的话我们先在R1的S0口进行配置方向为IN方向。

R1上的配置r1(config)#r1(config)#interface s0r1(config-if)#no shutdownr1(config-if)#ip add 12.12.12.1 255.255.255.0r1(config-if)#exitr1(config)#interface s1r1(config-if)#no shutdownr1(config-if)#ip address 13.13.13.1 255.255.255.0r1(config-if)#exitr1(config)#access-list 1 deny host 2.2.2.2 // 配置一个访问控制列表编号为1（1-99表示是标准的。

如果这里为100的话就是扩展的了）第一句话是拒绝主机地址为2.2.2.2的地址。

我们访问控制列表是有顺序的。

写在最前面的就是第一句r1(config)#access-list 1 permit any // 允许其他所有的数据通过，如果不写这句就是拒绝所有的数据了（在访问控制列表的最后一句是隐含拒绝一切数据）r1(config)#interface s0r1(config-if)#ip access-group 1 in // 在S0的接口上把访问控制列表给引用方向为IN方向。

一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。

三、实验设备PC 3台；Router-PT 3台；交叉线；DCE串口线；Server-PT 1台；四、实验步骤标准IP访问控制列表配置：新建Packet Tracer拓扑图（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置路由器接口IP地址。

（3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

（4）在R1上编号的IP标准访问控制。

（5）将标准IP访问控制应用到接口上。

（6）验证主机之间的互通性。

扩展IP访问控制列表配置：新建Packet Tracer拓扑图（1）分公司出口路由器与外路由器之间通过V.35电缆串口连接，DCE端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置PC机、服务器及路由器接口IP地址。

（3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才涉及到访问控制列表。

（4）在R2上配置编号的IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

五、实验结果标准IP访问控制列表配置：PC0：PC1：PC2：PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置：PC0：Server0：六、实验心得与体会实验中对ACL的配置有了初步了解，明白了使用ACL可以拒绝、允许特定的数据流通过网络设备，可以防止攻击，实现访问控制，节省带宽。

其对网络安全有很大作用。

另外，制作ACL时如果要限制本地计算机访问外围网络就用OUT，如果是限制外围网络访问本地计算机就用IN。

两者的区别在于他们审核访问的时候优先选择哪些访问权限。

IP访问控制列表（ACL）实验【实验目的】掌握网络交换设备的标准IP访问列表规则及配置。

1.准备知识IP ACL(IP访问控制列表或IP访问列表)，是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。

从而提高网络可管理性和安全性。

类似于包过滤防火墙的功能。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用方向分为：入口应用和出口应用。

入口应用是对由外部经该接口进入路由器的数据包进行过滤。

出口应用是对从路由器接口向外转发数据时的数据包过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

2.实验模拟环境和拓扑图在3760三层交换机上连着学校的服务器，另外还连接着学生宿舍楼和学校的办公区，学校规定学生宿舍楼只能访问学校的Web服务器，不能访问办公区。

办公区可以访问学校的Web和FTP服务器。

先配置好VLAN 10中的Web/FTP服务器。

3.配置命名的标准IP访问列表根据以上要求，配置步骤如下：（1）配置三个VLAN：Switch(config)#vlan 10Switch(config-vlan)#name serverSwitch(config)#vlan 20Switch(config-vlan)#name teachersSwitch(config)#vlan 30Switch(config-vlan)#name students（2）将交换机端口加入相对应的VLAN：Switch(config)#interface f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#exitSwitch(config)#interface f0/3Switch(config-if)#switchport access vlan 30Switch(config-if)#exit（3）为每个VLAN配置IP地址：Switch(config)#int vlan10Switch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip add 192.168.20.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 30Switch(config-if)#ip add 192.168.30.1 255.255.255.0Switch(config-if)#exit（4）配置三台主机：将三台主机分别插入三个VLAN的端口，并为主机配置好IP地址和默认网关地址。

实验七标准IP访问控制列表配置实验七标准IP访问控制列表配置⼀、实验⽬的1．理解标准IP访问控制列表的原理及功能。

2．掌握编号的标准IP访问控制列表的配置⽅法。

⼆、实验环境R2600（2台）、主机（3台）、交叉线（3条）、DCE线（1条）。

三、实验背景你是公司的⽹络管理员，公司的经理部、财务部和销售部分属于不同的3个⽹段，三部门之间⽤路由器进⾏信息传递，为了安全起见，公司领导要求销售部不能对财务部进⾏访问，但经理部可以对财务部进⾏访问PC1代表经理部的主机，PC2代表销售部的主机，PC3代表财务部的主机。

四、技术原理ACLs的全称为接⼊控制列表；也称为访问列表，俗称为防⽕墙，在有的⽂档中还称之为包过滤。

ACLs通过定义⼀些规则对⽹络设备接⼝上的数据报⽂进⾏控制：允许通过或丢弃，从⽽提⾼⽹络可管理性和安全性。

IP ACLs分为两种：标准IP访问列表和扩展IP访问列表，标号范围分别为1~99、100~199。

标准IP访问列表可以根据数据包的源IP地址定义规则，进⾏数据包的过滤。

扩展IP访问列表可以数据包的源IP、⽬的IP、源端⼝、⽬的端⼝、协议来定义规则，进⾏数据包的过滤。

IP ACL基于接⼝进⾏规则的应⽤，分为：⼊栈应⽤和出栈应⽤。

五、实验步骤1、新建拓扑图2、路由器R1、R2之间通过V.35线缆通过串⼝连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

3、配置路由器接⼝IP地址。

4、在路由器R1、R2上配置静态路由协议或动态路由协议，让三台PC能互相ping通，因为只有在互通的前提下才能涉及到访问控制列表。

5、在R1上配置编号的IP标准访问列表。

6、将标准IP访问控制列表应⽤到接⼝上。

7、验证主机之间的互通性。

六、实验过程中需要的相关知识点1、进⼊指定的接⼝配置模式配置每个接⼝，⾸先必须进⼊这个接⼝的配置模式模式,⾸先进⼊全局配置模式，然后输⼊进⼊指定接⼝配置模式，命令格式如下例如：进⼊快速以太⽹⼝的第0个端⼝，步骤是：Router#config terminalRouter(config)#interface FastEthernet 1/02、配置IP地址除了NULL接⼝，每个接⼝都有其IP地址，IP地址的配置是使⽤接⼝必须考虑的，命令如下：Router#config terminalRouter(config)#interface FastEthernet 1/0Router(config-if)#ip address 192.168.1.1 255.255.255.03、关闭和重启接⼝在需要的时候，接⼝必须被关闭，⽐如在接⼝上更换电缆，然后再重新启动接⼝。

Tutorial 07: 标准IP访问控制列表ACL【实验名称】标准IP访问控制列表ACL【实验目的与要求】目的：掌握路由器上编号的标准IP访问列表规则及配置。

要求：用交换机模拟公司的经理部，财务部门和销售部门，他们分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

PCA代表经理部的主机，PCB代表销售部门的主机、PCC代表财务部门的主机。

【实现功能】实现网段间互相访问的安全控制。

【实验设备及台套数】每组试验需要以下器材：PC机六台、锐捷路由器(R1762)2台、V35线缆1条、双绞线若干【实验原理】IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1～99、1300～1999，扩展IP访问列表编号范围是100～199、2000～2699.【实验拓扑】【实验步骤】一、路由器的基本配置1、路由器A的基本配置RouterA(config)#interface fastEthernet 1/0RouterA(config-if)#ip address 172.16.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config)#interface fastEthernet 1/1RouterA(config-if)#ip address 172.16.2.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config)#interface serial 1/2RouterA(config-if)#ip address 172.16.3.1 255.255.255.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdown验证测试：RouterA#show ip interface briefInterface IP-Address(Pri) OK? Status serial 1/2 172.16.3.1/24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/0 172.16.1.1/24 YES UP FastEthernet 1/1 172.16.2.1/24 YES UPNull 0 no address YES UP2、路由器B的基本配置RouterB(config)#interface fastEthernet 1/0RouterB(config-if)#ip address 172.16.4.1 255.255.255.0RouterB(config-if)#no shutdownRouterB(config)#interface serial 1/2RouterB(config-if)#ip address 172.16.3.2 255.255.255.0RouterB(config-if)#no shutdown验证测试：RouterB#show ip interface briefInterface IP-Address(Pri) OK? Status serial 1/2 172.16.3.2/24 YES UPserial 1/3 no address YES DOWN FastEthernet 1/0 172.16.4.1/24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP二、配置静态路由RouterA(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2RouterB(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1RouterB(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1验证测试：RouterA#show ip routeCodes: C – connected, S – static, R – RIPO – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2* - candidate defaultGateway of last resort is no setC 172.16.1.0/24 is directly connected, FastEthernet 1/0C 172.16.1.1/32 is local host.C 172.16.2.0/24 is directly connected, FastEthernet 1/1C 172.16.2.1/32 is local host.C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.1/32 is local host.S 172.16.4.0/24 is directly connected, serial 1/2RouterB#show ip routeCodes: C – connected, S – static, R – RIPO – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2E1 – OSPF external type 1, E2 – OSPF external type 2* - candidate defaultGateway of last resort is no setS 172.16.1.0/24 is directly connected, serial 1/2S 172.16.2.0/24 is directly connected, serial 1/2C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.2/32 is local host.C 172.16.4.0/24 is directly connected, FastEthernet 1/0C 172.16.4.1/32 is local host.三、配置标准IP访问控制列表RouterB(config)#access-list 1 deny 172.16.2.0 0.0.0.255!拒绝来自172.16.2.0网段的流量通过RouterB(config)#access-list 1 permit 172.16.1.0 0.0.0.255!允许来自172.16.1.0网段的流量通过验证测试：RouterB#show access-lists 1Standard IP access-list 1 includes 2 items：deny 172.16.2.0，wildcard bits 0.0.0.255permit 172.16.1.0，wildcard bits 0.0.0.255四、把访问控制列表在接口下应用RouterB(config)#interface f1/0RouterB(config-if)#ip access-group 1 out !在接口下访问控制列表出栈流量调用验证测试：RouterB#show ip interface fastEthernet 1/0FastEthernet 1/0IP interface state is：UPIP interface type is：BROADCASTIP interface MTU is：1500IP address is:172.16.4.1/24（primary）IP address negotiate is ：OFFForward direct-boardcast is：ONICMP mask reply is：ONSend ICMP redirect is：ONSend ICMP unreachabled is：ONDHCP relay is：OFFFast switch is：ONRoute horizontal-split is：ONHelpaddress is：0.0.0.0Proxy ARP is：ONOutgoing access list is 1. ！查看访问列表在接口上的应用Inbound access list not set。

实验七 NAT和ACL配置实验1：标准ACL1.实验目的通过本实验可以掌握：（1）ACL 设计原则和工作过程（2）定义标准ACL（3）应用ACL（4）标准ACL 调试2.拓扑结构本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。

整个网络配置RIP 保证IP 的连通性。

3.实验步骤（1）步骤1：配置路由器R1R1(config)#router ripR1(config-router)#network 10.1.1.0R1(config-router)#network 172.16.1.0R1(config-router)#network 192.168.12.0（2）步骤2：配置路由器R2R2(config)#router ripR2(config-router)#network 2.2.2.0R2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.23.0R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义ACLR2(config)#access-list 1 permit anyR2(config)#interface Serial0/0/0R2(config-if)#ip access-group 1 in //在接口下应用ACLR2(config)#access-list 2 permit 172.16.3.1R2(config-if)#line vty 0 4R2(config-line)#access-class 2 in //在vty 下应用ACLR2(config-line)#password ciscoR2(config-line)#login（3）步骤3：配置路由器R3R3(config)#router eigrp 1R3(config-router)#network 172.16.3.0R3(config-router)#network 192.168.23.0【技术要点】（1）ACL 定义好，可以在很多地方应用，接口上应用只是其中之一，其它的常用应用来控制telnet 的访问；（2）访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序；（3）路由器不对自身产生的IP 数据包进行过滤；（4）访问控制列表最后一条是隐含的拒绝所有；（5）每一个路由器接口的每一个方向，每一种协议只能创建一个ACL；（6）“access-class”命令只对标准ACL 有效。

【网络拓扑结构图】【实验步骤】1、配置设备接口模块各设备的模块配置及连接能力说明如下表2、设备连接说明3、3.1 RouterA路由器参数配置<配置命令>RouterA>enRouterA#conf tEnter configuration commands, one per line. End with CNTL/Z.RouterA(config)#int fa0/0RouterA(config-if)#ip add 192.168.3.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#*Mar 1 00:11:16.345: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up*Mar 1 00:11:17. 345: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouterA(config)#int fa0/1RouterA(config-if)#ip add 192.168.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#in*Mar 1 00:11:52.138: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up*Mar 1 00:11:53.138: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouterA(config)#int s0/1RouterA(config-if)#ip add 10.1.2.1 255.255.255.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdownRouterA(config-if)#exiRouterA(config)#*Mar 1 00:12:37.923: %LINK-3-UPDOWN: Interface Serial0/1, changed state to upRouterA(config)#*Mar 1 00:12:38.923: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to upRouterA(config-if)#exiRouterA(config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2RouterA(config)#exiRouterA#*Mar 1 00:14:26.167: %SYS-5-CONFIG_I: Configured from console by consoleRouterA#*Mar 1 00:15:27.575: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up<输出配置结果>RouterA#show ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.3.1 YES manual up up Serial0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.1.1 YES manual up up Serial0/1 10.1.2.1 YES manual up up Serial0/2 unassigned YES unset administratively down down Serial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down down Serial1/3 unassigned YES unset administratively down down RouterA#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsC 10.1.2.0 is directly connected, Serial0/1C 192.168.1.0/24 is directly connected, FastEthernet0/1S 192.168.2.0/24 [1/0] via 10.1.2.2C 192.168.3.0/24 is directly connected, FastEthernet0/03.2RouterB路由器参数配置<配置命令>RouterB>enRouterB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouterB(config)#int fa0/1RouterB(config-if)#ip add 192.168.2.1 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#exiRouterB(config)#*Mar 1 00:14:54.354: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up*Mar 1 00:14:55.354: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouterB(config)#int s0/1RouterB(config-if)#ip add 10.1.2.2 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#*Mar 1 00:15:23.324: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up*Mar 1 00:15:24.324: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to upRouterB(config-if)#exiRouterB(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1RouterB(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.1RouterB(config)#exiRouterB#<输出配置结果>RouterB#show ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset administratively down downSerial0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.2.1 YES manual up up Serial0/1 10.1.2.2 YES manual up up Serial0/2 unassigned YES unset administratively down down Serial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down down Serial1/3 unassigned YES unset administratively down down RouterB#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsC 10.1.2.0 is directly connected, Serial0/1S 192.168.1.0/24 [1/0] via 10.1.2.1C 192.168.2.0/24 is directly connected, FastEthernet0/1S 192.168.3.0/24 [1/0] via 10.1.2.14、配置（虚拟）主机参数5测试三台主机PC1、PC2、PC3之间的连通性，保证它们之间能够相互访问。

标准访问控制列表配置实训一、实验目的本实训旨在让学生掌握标准访问控制列表的配置方法，理解其工作原理，并能够根据实际需求进行正确的配置。

二、实验设备1. 路由器或交换机2. 计算机或笔记本3. 网络线4. 模拟软件（如GNS3）三、实验步骤与配置示例步骤1：设备连接与基本配置1. 在模拟软件GNS3中，拖拽一个路由器图标并连接到两台计算机，分别命名为Router1和Router2。

2. 启动Router1和Router2，并进入命令行界面。

3. 对两台设备进行基本配置，包括设置主机名、IP地址等。

示例：Router1：Router>enableRouter#configure terminalRouter(config)#hostname Router1Router1(config)#ip dhcp pool pool1Router1(config)#ip dhcp pool pool2Router1(config)#interface GigabitEthernet0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface GigabitEthernet0/1Router1(config-if)#ip address 192.168.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254步骤2：配置标准访问控制列表（ACL）1. 在Router1上创建一个标准访问控制列表（ACL），允许源IP为192.168.1.0/24的数据包访问目标IP为192.168.2.0/24的数据包。

课程实训报告1（要求利用模拟软件自行建立拓扑结构图并替换上图）【背景描述】假设你是一名公司的网络管理员，公司的经理部、财务部和销售部分别属于不同的3个网段，三个部门之间使用路由器进行相互通信，为了安全起见，公司领导要求销售部的电脑不能对财务部的电脑进行访问，但经理部没有此限制。

同时公司内网配置了一个Web服务器，要求财务部的电脑不能访问Web服务器，但经理部和销售部没有此限制可以理解为：PC2不能访问PC4，PC1可以访问PC4；PC4不能访问Server1，PC1，PC2可以访问Server1实训设备IP地址分配，要求建立IP地址列表，填入下面的表格里PC1代表经理部的主机：IP地址:192.168.10.2、子网掩码：255.255.255.0 网关：192.168.10.1；PC2代表销售部的主机：IP地址: 192.168.20.2、子网掩码：255.255.255.0 网关：192.168.20.1；Server1代表WWW服务器：IP地址: 192.168.40.2、子网掩码：255.255.255.0 网关：192.168.40.1；PC4代表财务部的主机：IP地址: 192.168.50.2、子网掩码：255.255.255.0 网关：192.168.50.1；路由器R1：F0/0：192.168.10.1、子网掩码：255.255.255.0；F1/0：192.168.20.1、子网掩码：255.255.255.0；S2/0：192.168.30.1，子网掩码：255.255.255.0路由器R2：F0/0：192.168.40.1、子网掩码：255.255.255.0；F1/0：192.168.50.1、子网掩码：255.255.255.0S2/0：192.168.30.2，子网掩码：255.255.255.0实训IP地址分配表序号设备名称IP地址网关子网掩码1 经理室主机PC1 192.168.10.2 192.168.10.1 255.255.255.02 销售部主机PC2 192.168.20.2 198.168.20.1 255.255.255.03 Web服务器Server1 192.168.40.2 192.168.40.1 255.255.255.04 财务部主机PC4 192.168.50.2 192.168.50.1 255.255.255.05 路由器R1 Fa0/0 192.168.10.1 / 255.255.255.023步骤四：在路由器R1和R2上用“show ip interface brief”命令查看路由器接口是否为“UP”状态，并将结果截图粘贴在下面步骤五：配置静态路由达到全网连通（有兴趣的同学也可以使用动态RIP达到全网连通）；仔细观察上图，PC1，PC2如果需要访问Server1服务器，必须经过路由器R1的Se2/0口，连接到路由器R2的Se2/0口，然后经过路由器R2访问Server1服务器，所以R1上静态路由配置如下4根据以上例子，配置R1和R2静态路由，并利用命令“show ip route”来观察路由情况，将R2的路由结果粘贴在下面步骤六：使用Ping命令测试四台PC机之间是否能够相互通信，并将PC2 ping PC4，PC2 ping Server1的结果截图粘贴在下面步骤七：在R2路由器上配置标准ACL，用来拒绝PC2访问财务部电脑PC4，并将PC2 ping PC4的结果截图粘贴在下面标准访问控制列表格式如下：Router(config)#access-list list-number {permit|deny} [host/any] {source-address [wildcard-mask]} 参数说明标准ACL运用在靠近目标地址的OUT端口[]表示可选项，{}表示必选项；access-list------访问控制列表命令list-number------列表号范围从1到99,可随意取permit/deny------允许或拒绝数据包通过接口host/any---------host表示特定的某台主机，而any表示指任何地址source-address---源IP地址wildcard-mask----通配符掩码或称反掩码wildcard-mask省略时，表示取默认值0.0.0.0；通配符掩码的作用与子网掩码刚好相反，在通配符掩码位中，0表示“匹配”即要检查相应的位，1表示“不关心”即不检查相应的位。

IP访问控制列表配置目录：一、IP标准访问控制列表的建立及应用 (1)第4步：▲验证测试 (3)第3步：▲验证测试 (6)二、IP 【扩展访问控制列表】的建立及应用 (7)第5步：验证测试 (10)五、▲总结： (12)▲表示重要的一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty04是进入VTY端口,对VTY端口进行配置,比如说配置密码,RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0RouterA (config-if)#ip address 192.168.1.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface s0/3/0RouterA (config-if)#ip address 192.168.12.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface s0/3/0RouterA (config-if)#ip address 192.168.2.1 255.255.255.0RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#loginRouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0RouterB (config-if)#ip address 192.168.3.1 255.255.255.0RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface s0/3/1RouterB (config-if)#ip address 192.168.12.2 255.255.255.0RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1第2步：▲在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255RouterB #show access-list 1第3步：▲应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0第4步：▲验证测试在校企主机的命令提示符下Ping 192.168.3.10，能Ping通。

【实验拓扑】实验时，按照拓扑进行网络的连接，注意主机和路由器连接所用的端口。

【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置路由器模块右键点击路由器RouteA图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

右键点击路由器RouteB图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。

（4）按照网络拓扑图连接设备。

步骤2.在CNS3中点击显示各端口信息，分别对其标注配置信息。

步骤3RouteA>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA //路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0RouteA (config-if)#clock rate 64000 //配置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 //配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。

路由器标准IP访问控制列表(ACLS)配置实验四川兴科城市交通技工学校---胡老师一、实验目的1、理解标准IP访问控制列表的原理及功能；2、掌握编号的标准IP访问控制列表的配置方法；二、实验目标假定四川兴科城市交通技工学校有“学工教务部“、“财务部“”和“招生部“，分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，学校领导要求招生部门不能对财务部进行访问，但学工教务部可以对财务部进行访问。

PC1代表学工教务部的主机、PC2代表招生部的主机、PC3代表财务部的主机。

三、技术实现规则1、ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。

ACLs通过定义一些规则对网络设备接口上的数据包文进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；2、IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699；3、标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；4、扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；5、IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；四、实验方法1、新建Packet Tracer拓扑图2、路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

3、配置路由器接口IP地址。

4、在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

5、在R1上编号的IP标准访问控制6、将标准IP访问控制应用到接口上。

7、验证主机之间的互通性。

五、实验设备PC 3台；Router-PT 2台；交叉线；DCE串口线；六、实验详细配置拓扑结构1、PC1：IP: 172.16.1.2Submask: 255.255.255.0Gageway: 172.16.1.12、PC2：IP: 172.16.2.2Submask: 255.255.255.0Gageway: 172.16.2.13、PC3：IP: 172.16.4.2Submask: 255.255.255.0Gageway: 172.16.4.14、Router01.//配置Router0联通的端口2.Router>en3.Router#conf t4.Router(config)#inter fa 0/05.Router(config-if)#ip address 172.16.1.1 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 1/08.Router(config-if)#ip address 172.16.2.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#inter s 2/011.Router(config-if)#ip address 172.16.3.1 255.255.255.012.Router(config-if)#no shutdown13.Router(config-if)#clock rate 6400014.Router(config-if)#exit5、Router11.//配置Router1联通的端口2.Router>en3.Router#conf t4.Router(config)#inter serial 2/05.Router(config-if)#ip address 172.16.3.2 255.255.255.06.Router(config-if)#no shutdown7.Router(config-if)#inter fa 0/08.Router(config-if)#ip address 172.16.4.1 255.255.255.09.Router(config-if)#no shutdown10.Router(config-if)#exit6、Router0路由转发1.//配置Router0路由IP转发表，使路由转发来自跃点172.16.3.2的172.16.4.0目标段数据2.Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.27、Router1路由转发1.//配置Router1路由IP转发表，使路由转发来自跃点172.16.3.1的所有IP段的数据2.Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1七、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (success)测试成功！八、Router0准入配置1.//配置Router的IP准入2.Router(config）#3.Router(config-std-nacl)# ip access-list standard cisco //配置准入口令“cisco”4.Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //设置准入IP5.Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //设置拒接接入IP6.Router(config-std-nacl)# conf t7.Router(config)# int s 2/08.Router(config-if)# ip access-group cisco out //向serial2/0 接口发布准入口令九、测试PC1ping 172.16.4.2 (success)PC2ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)上述实验过程测试通过，大家放心使用。