课题四 访问控制列表(ACL)的配置

ACL实验配置的实验报告ACL实验配置的实验报告一、引言网络安全是当今互联网时代的重要议题之一。

为了保护网络资源的安全性，许多组织和个人采取了访问控制列表（Access Control List，简称ACL）的配置方法。

本文将介绍ACL实验配置的实验报告，探讨ACL在网络安全中的应用和效果。

二、实验目的本次实验旨在通过配置ACL来控制网络流量，实现对特定IP地址或端口的访问控制。

通过实验，我们将了解ACL的基本原理和配置方法，并评估ACL在网络安全中的实际效果。

三、实验环境本次实验使用了一台具备路由器功能的设备，该设备支持ACL功能。

我们将在该设备上进行ACL配置和测试。

四、实验步骤1. 配置ACL规则我们首先登录到设备的管理界面，进入ACL配置页面。

根据实验要求，我们配置了两条ACL规则：- 允许特定IP地址的访问：我们设置了一条允许来自IP地址为192.168.1.100的主机访问的规则。

- 阻止特定端口的访问：我们设置了一条阻止访问端口号为80的规则，以模拟对HTTP协议的限制。

2. 应用ACL规则配置完ACL规则后，我们将其应用到设备的出口接口上。

这样，所有经过该接口的流量都将受到ACL规则的限制。

3. 测试ACL效果为了验证ACL的效果，我们进行了以下测试：- 尝试从IP地址为192.168.1.100的主机访问设备，结果显示访问成功，符合我们的预期。

- 尝试从其他IP地址访问设备，结果显示访问被拒绝，ACL规则起到了限制作用。

- 尝试访问设备的80端口，结果显示访问被拒绝，ACL规则成功限制了对HTTP协议的访问。

五、实验结果与分析通过实验，我们成功配置了ACL规则，并验证了ACL在网络安全中的实际效果。

ACL能够限制特定IP地址或端口的访问，从而提高网络资源的安全性。

通过合理配置ACL规则，可以防止未经授权的访问和攻击，保护网络的机密性和完整性。

六、实验总结ACL在网络安全中起到了重要的作用。

如何设置网络防火墙的访问控制列表（ACL）？在当今互联网时代，网络安全已经成为了一个非常重要的话题。

无数的恶意代码、黑客攻击和网络犯罪威胁着我们的信息和数据的安全。

为了保护我们的网络免受这些威胁，使用网络防火墙已经成为了必不可少的一种手段。

而设置网络防火墙的访问控制列表（ACL）则是不可或缺的一部分。

访问控制列表（ACL）是用于规定网络中主机或者网络设备之间的通信权限的一种机制。

通过设置ACL，我们可以限制特定的IP地址、端口或者协议与我们的网络进行通信。

下面，我们将逐步讲解如何设置网络防火墙的ACL。

首先，我们需要明确网络防火墙的位置和作用。

一般来说，网络防火墙分为边界防火墙和内部防火墙。

边界防火墙一般位于整个网络的边缘，用于保护整个网络免受外部攻击。

而内部防火墙常常位于网络的内部，用于保护内部网络的安全。

因此，设置ACL的方法和策略也会有所不同。

接下来，我们需要确定需要进行通信限制的对象。

网络中的主机和设备众多，但并非每一个都需要设置ACL。

首先，我们应该确保所有重要的服务器和设备都设置了ACL，以保护其安全。

其次，我们还应该根据风险评估来决定是否需要对其他主机和设备进行限制。

例如，对于无线网络连接的用户，我们可能需要限制他们能够访问的资源和服务。

在设置ACL时，我们需要考虑的一个重要因素就是访问控制的粒度。

粒度越细，我们对网络通信的控制也就越精细。

但是，过于细粒度的ACL可能会导致配置复杂、维护困难。

因此，我们需要权衡控制粒度和网络管理的复杂性。

另一个需要考虑的因素是白名单和黑名单的使用。

白名单是只允许指定的网络对象进行通信，而黑名单则是禁止指定的网络对象进行通信。

一般来说，白名单的安全性更高，但管理也更加困难。

而黑名单则更加容易设置和维护，但需要及时更新。

根据实际情况和需求，我们可以选择合适的名单类型。

此外，设置网络防火墙的ACL时，我们还应该考虑到日志记录和审计的问题。

通过记录与网络通信相关的信息，我们可以追踪和分析网络活动，及时发现和处理异常和攻击行为。

一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。

三、实验设备PC 3台；Router-PT 3台；交叉线；DCE串口线；Server-PT 1台；四、实验步骤标准IP访问控制列表配置：新建Packet Tracer拓扑图（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置路由器接口IP地址。

（3）在路由器上配置静态路由协议，让三台PC能够相互Ping通，因为只有在互通的前提下才涉及到方控制列表。

（4）在R1上编号的IP标准访问控制。

（5）将标准IP访问控制应用到接口上。

（6）验证主机之间的互通性。

扩展IP访问控制列表配置：新建Packet Tracer拓扑图（1）分公司出口路由器与外路由器之间通过V.35电缆串口连接，DCE 端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置PC机、服务器及路由器接口IP地址。

（3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才涉及到访问控制列表。

（4）在R2上配置编号的IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

五、实验结果标准IP访问控制列表配置：PC0：PC1：PC2：PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置：PC0：Server0：六、实验心得与体会实验中对ACL的配置有了初步了解，明白了使用ACL可以拒绝、允许特定的数据流通过网络设备，可以防止攻击，实现访问控制，节省带宽。

其对网络安全有很大作用。

另外，制作ACL时如果要限制本地计算机访问外围网络就用OUT，如果是限制外围网络访问本地计算机就用IN。

两者的区别在于他们审核访问的时候优先选择哪些访问权限。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

ACL访问控制列表配置与优化ACL（Access Control List）访问控制列表是用于网络设备实现流量控制和网络安全的一种技术。

通过ACL，可以根据规则过滤和限制网络流量，以实现对网络资源的保护和管理。

本文将介绍ACL访问控制列表的配置和优化方法。

一、ACL基本概念ACL是一组用于控制网络流量的规则集合，它根据规则匹配和处理数据包。

ACL可以基于源IP地址、目的IP地址、传输层协议（如TCP或UDP）、传输层端口号等信息对数据包进行过滤和限制。

ACL规则由许多条目组成，每个条目包含一个或多个匹配条件和一个动作。

匹配条件可以根据需要自定义，动作决定如何处理匹配到的数据包，可以是允许通过、拒绝或执行其他操作。

二、ACL配置方法1. 确定访问控制目标：在配置ACL之前，需明确要保护的网络资源和限制的网络流量类型，以便针对性地配置ACL规则。

2. 创建ACL规则：根据网络资源的保护需求和限制要求，设置ACL规则。

可以使用命令行界面（CLI）或图形用户界面（GUI）进行配置。

3. 规则优先级：规则的顺序非常重要，ACL规则按照从上到下的顺序逐条匹配，匹配成功后立即执行相应的动作。

因此，应将最常见或最具限制性的规则放在前面。

4. 匹配条件：根据需要设置匹配条件，常见的条件有源IP地址、目的IP地址、传输层协议和端口号等。

更复杂的条件可结合使用。

5. 动作设置：根据匹配结果设置动作，可以是允许通过、拒绝或执行其他操作，如重定向、日志记录等。

6. 应用ACL：在需要进行流量控制和保护的设备上应用ACL配置，使其生效。

三、ACL优化方法1. 精简ACL规则：定期审查ACL规则，删除不必要的规则。

过多或冗余的规则会影响ACL匹配性能。

2. 规则合并：将具有相同动作和相似匹配条件的规则合并，减少规则数量，提高ACL处理效率。

3. 设置默认规则：通过设置默认规则，对未匹配到的数据包进行统一配置，避免未预期的情况。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

网络安全之——ACL（访问控制列表）网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】H3C三层交换机1台，PC 3台，标准网线3根。

【引入案例1】某公司建设了Intranet，划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门，各部门之间通过三层交换机（或路由器）互联，并接入互联网。

自从网络建成后麻烦不断，一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱，一会儿财务部抱怨研发部的人看了不该看的数据，一会儿领导抱怨员工上班时候整天偷偷泡网，等等。

有什么办法能够解决这些问题呢？【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响，例如，数据的安全性、员工经常利用互联网做些与工作不相干的事等等。

一方面，为了业务的发展，必须允许合法访问网络，另一方面，又必须确保企业数据和资源尽可能安全，控制非法访问，尽可能的降低网络所带来的负面影响，这就成了摆在网络管理员面前的一个重要课题。

网络安全采用的技术很多，通过ACL （Access Control List，访问控制列表）对数据包进行过滤，实现访问控制，是实现基本网络安全的手段之一。

【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法，是包过滤防火墙的一种重要实现方式。

ACL是在网络设备中定义的一个列表，由一系列的匹配规则（rule）组成，这些规则包含了数据包的一些特征，比如源地址、目的地址、协议类型以及端口号等信息，并预先设定了相应的策略——允许（permint）或禁止（Deny）数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上，并且具有方向性。

每个端口的出站方向（Outbound）和入站方向（Inbound）均可配置独立的ACL 进行包过滤。

出方向过滤基于ACL的包过滤当路由器收到一个数据包时，如果进入端口处没有启动ACL包过滤，则数据包直接提交路由器转发进程处理，如果进入端口处启动了ACL包过滤，则数据交给入站防火墙进行过滤，其工作流程如图所示。

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。

实验四：访问控制列表（ACL）配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

2、访问控制列表的分类：1. 基本的访问控制列表（basic acl）2.高级的访问控制列表（advanced acl）3.基于接口的访问控制列表（interface-based acl）4. 基于MAC的访问控制列表（mac-basedacl）三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：可以飞鸽传书，可以PING通对方IP实验结果截图如下测试二：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：Router A/B这一组是通过配置AR28-1的ACL，使用与Router C/D这一组的PC机的飞鸽传书不能传输数据，可以发送聊天信息，可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答：ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。

每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。

由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

实验3：访问控制列表ACL配置实验1、实验目的对路由器的访问控制列表ACL进行配置。

2、实验设备路由器2台，PC机３台，串行线1对，交叉双绞线３根；3、实验要求（1）实验任务用串行线通过Serial 口将2台路由器直接连接起来后，给每台PC机所连FastEthernet 口分配一个IP地址，对路由器作配置后，查验访问控制表内容，并通过1台PC机PING另1台PC机进行验证。

（2）实验预习熟悉IP地址、MAC地址和常用端口号码的含义。

（3）实验报告①简要叙述组成访问控制列表ACL形成的主要方法。

②简单叙述如何对常见病毒端口进行防护以提高网络安全性。

③实验中遇到了什么问题，如何解决的，以及本人的收获与体会。

4、实验原理（1）网络拓扑图（2）配置命令说明(config)#ip access-list standard name/*创建标准ACL(config-std-nacl)#deny|permit source-ip-add wildcard|host source-ip-add|any [time-rangetime-range-name] /*拒绝|允许源IP地址(config)#ip access-list extended name/*创建扩展ACL(config-ext-nacl)#deny|permit protocol source-ip-add wildcard|host source-ip-add |any destinationdestination-ip-add wildcard|host destination-ip-add|any eq tcp|udp port-number[time-range time-range-name] /*拒绝|允许源IP地址、目的IP地址、端口(config)#mac access-list extended name/*创建MAC扩展ACL(config-ext-macl)#d eny|permit any|host source-mac-address any|hostdestination-mac-address [time-range time-range-name]/*拒绝|允许源MAC地址、目的MAC 地址(config-if)#ip access-group name in /*关联ACL到接口(config)#time-range name/*创建时间段5、实验步骤（1）搭建实验环境，使三个网段（192.168.1.0 /192.168.1.0 /192.168.1.0）内主机能够互相连通R2801-A>ena#conf t(config)int s0/2/0(config-if)ip address 10.1.1.1 255.255.255.0(config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.1.1 255.255.255.0(config-if)no shutdown(config-if)router rip(config-if)version 2(config-if)net 10.1.1.0(config-if)net 192.168.1.0(config-if)end#2801C B/* 切换到设备R2801-B上>ena#conf t(config)int s0/2/0(config-if)ip address 10.1.1.2 255.255.255.0 (config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.2.1 255.255.255.0 (config-if)no shutdown(config-if)int f0/1(config-if)ip address 192.168.3.1 255.255.255.0 (config-if)no shutdown(config-if)router rip(config-if)version 2(config-if)net 10.1.1.0(config-if)net 192.168.2.0(config-if)net 192.168.3.0(config-if)end#show run-config /*运行结果见下图#show ip route /* 查看路由表，确保当前路由信息已在路由之间被正常学习PC1上：将“网络连接”属性中的IP指定为：192.168.1.2；网关为：192.168.1.1。

北京理工大学珠海学院实验报告ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY班级：计算机学号：姓名：指导教师：成绩实验题目访问控制列表ACL配置实验时间2013/6/3一、实验目的：掌握ACL的基本原理；掌握ACL的配置方法二、实验环境：（软件、硬件及条件）2Windows 主机+3 台路由器或者1 台Windows 主机+packet tracer 5.0 模拟器三、实验内容理解ACL的工作原理，掌握ACL实现选路的原理。

四、实验拓扑实验环境中各个网段与路由器接口IP地址分配如上图所示。

五、实验步骤1、在Packet Tracer 好拓扑，并配置好模块接口IP地址2、配置DNS Server3、配置HTTP Server，如下图：4、配置路由器OSPF 协议，使得3 路由器能互联互通R1：R2：R35、检验配置结果，路由表全网同步，各终端PC 能访问HTTP 服务。

6、配置AC 禁止192.1683.3.0/24 网段的ICMP协议数据包与192.168.1.0/24通信7、验证结果PC3 无法PING通DNS服务器但可以访问网站因为ACL禁止了192.168.3.0到192.168.1.0的ICMP数据包，所以PC3无法PING通DNS，但可以访问www网站。

8、配置ACL 禁止特定协议端口通信Router 0 的配置如下9、验证配置PC0无法访问网站但可以PING通DNS服务器PC1无法访问网站因为ACL禁止了主机192.168.2.2 到192.168.1.0的TCP的www数据包，因此PC0不可访问，但可以PING通DNS服务器，由于ACL还禁止了主机192.168.2.3到192.168.1.0的网段UDP数据包，因此PC1无法访问DNS服务器从而无法访问网站。

10、查看验证ACL七、思考题：11. 简述ACL 的基本原理。

答：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

访问控制列表(acl)实验报告访问控制列表（ACL）实验报告引言访问控制列表（ACL）是网络安全中常用的一种技术，它可以帮助网络管理员控制用户或者系统对资源的访问权限。

为了更好地了解ACL的工作原理和应用，我们进行了一系列的实验，并撰写了本报告，以总结实验结果并分享我们的经验。

实验目的本次实验的目的是探索ACL的基本概念、配置方法和应用场景，通过实际操作来加深对ACL的理解，并验证ACL在网络安全中的重要性和作用。

实验内容我们首先学习了ACL的基本概念和分类，包括标准ACL和扩展ACL。

接着，我们使用网络模拟软件搭建了一个简单的网络环境，并在路由器上配置了ACL，限制了不同用户对特定资源的访问权限。

我们还进行了一些模拟攻击和防御的实验，比如尝试绕过ACL进行非法访问，以及通过ACL阻止恶意访问。

实验结果通过实验，我们深入了解了ACL的配置方法和工作原理。

我们发现，ACL可以有效地限制用户或系统对网络资源的访问，提高了网络的安全性。

同时，ACL也能够帮助网络管理员更好地管理网络流量和资源利用，提高网络的性能和效率。

实验结论ACL是网络安全中一种重要的访问控制技术，它能够有效地保护网络资源不受未经授权的访问和攻击。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用，认识到ACL在网络安全中的重要性。

我们将继续学习和探索ACL的更多应用场景，并将ACL技术应用到实际的网络安全实践中，保护网络资源的安全和完整性。

总结通过本次实验，我们对ACL有了更深入的了解，并且掌握了ACL的基本配置方法和应用技巧。

我们相信ACL将在未来的网络安全中发挥越来越重要的作用，我们将继续学习和研究ACL技术，为网络安全做出更大的贡献。

实验4：CISCO ACL 简单配置一、实验目的1、了解ACL 配置方法；2、练习在已有网络上配置ACL 协议二、实验环境packet tracer 5.0三、ACL 介绍ACL(Access Control List，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip 地址、协议端口号等信息进行过滤。

利用ACL 可以实现安全控制。

编号：1-99 or 1300-1999(standard IP)，100-199 or 2000-2699(Extended IP)。

ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。

四、实验步骤：一、配置实例拓扑图配置DNS SERVER：配置HTTP SERVER：二、配置三个路由器：以Router0 为例，其它两个路由器相似：Router>Router>enable /进入特权配置模式Router#config t /进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname yangyu-R0 /修改路由器名称yangyu-R0(config)#enable password yangyu /设置特权密码yangyu-R0(config)#LINE VTY 0 4yangyu-R0(config-line)#password yangyu /设置登陆密码yangyu-R0(config-line)#loginyangyu-R0(config-line)#endyangyu-R0#config tEnter configuration commands, one per line. End with CNTL/Z. yangyu-R0(config)#int fa 0/0 /配置FA0/0 端口yangyu-R0(config-if)#ip add 192.168.2.1 255.255.255.0yangyu-R0(config-if)#no shut /启用该端口yangyu-R0(config-if)#int s 1/0 /配置serial1/0 端口yangyu-R0(config-if)#ip add 172.17.1.1 255.255.255.0yangyu-R0(config-if)# clock rate 64000 /配置串行链路时钟yangyu-R0(config-if)#no shutyangyu-R0(config-if)#exityangyu-R0(config)#interface Serial1/1yangyu-R0(config-if)#ip address 172.16.1.1 255.255.255.0 yangyu-R0(config-if)#clock rate 64000yangyu-R0(config-if)#no shutdownyangyu-R0(config-if)#exyangyu-R0(config)#router eigrp 24 /启用EIGRP 协议，区域号为24 yangyu-R0(config-router)#network 192.168.2.0 /发布邻接网络yangyu-R0(config-router)#network 172.16.0.0yangyu-R0(config-router)#network 172.17.0.0yangyu-R0(config-router)#auto-summary /启用自动汇总yangyu-R0(config-router)#exR1，R2 的配置信息：R1：yangyu-R1#show ruyangyu-R1#show running-configBuilding configuration...Current configuration : 738 bytes!version 12.4no service password-encryption!hostname yangyu-R1!!enable password yangyu!!!!ip ssh version 1!!interface FastEthernet0/0ip address 192.168.3.1 255.255.255.0duplex autospeed auto!interface FastEthernet0/1no ip addressduplex autospeed autoshutdown!interface Serial1/0ip address 172.17.1.2 255.255.255.0 !interface Serial1/1ip address 172.18.1.1 255.255.255.0 clock rate 64000!interface Serial1/2no ip addressshutdown!interface Serial1/3no ip addressshutdown!interface Vlan1no ip addressshutdown!router eigrp 24network 192.168.3.0network 172.17.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password yangyulogin!!EndR2：yangyu-R2#show runnBuilding configuration...Current configuration : 720 bytes!version 12.4no service password-encryption!hostname yangyu-R2!!enable password yangyu!!!!ip ssh version 1!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1no ip addressduplex autospeed autoshutdown!interface Serial1/0ip address 172.18.1.2 255.255.255.0 !interface Serial1/1ip address 172.16.1.2 255.255.255.0 !interface Serial1/2no ip addressshutdown!interface Serial1/3no ip addressshutdown!interface Vlan1no ip addressshutdown!router eigrp 24network 192.168.1.0network 172.16.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password yangyulogin!!end三、配置简单的ACL１、配置ACL 限制远程登录（telnet）到路由器的主机yangyu-R0#config tEnter configuration commands, one per line. End with CNTL/Z.yangyu-R0(config)#access-list 1 permit host 192.168.2.2 /路由器yangyu-R0只允许192.168.2.2 远程登录(telnet)yangyu-R0(config)#line vty 0 4yangyu-R0(config-line)#access-class 1 inyangyu-R0(config-line)#其它两个路由器也可依照上文配置。

课设5：访问控制列表ACL的配置
【实验目的】：
1．熟悉掌握网络的基本配置连接
2．对网络的访问性进行配置
【实验说明】：
路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

【实验设备】：
5台PC机，1台交换机，3台路由器
改成将无法设置下一路由器的地址数据。

姓名：王雪婷
日期：
组成员王雪婷
【实验过程记录】：
步骤1：搭建拓扑结构，进行配置
（1）搭建网络拓扑图：
（2）配置PC机的网关和IP地址；
虚拟机名IP地址Gateway
PC0
上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。

（3）设置路由信息并测试rip是否连通
三个路由器均做route操作。

对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置
代码如下：
Route(config)#route rip
Route(config-route)#net 1 deny 1 permit any Route(config)#int s3/0
Route(config-if)#ip access-group 1 in
Route(config-if)#end
步骤2：检验线路是否通畅
将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。

检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

实验4:配置实现访问控制列表ACL一、实验目的1.熟练掌握2种访问控制列表的配置实现技术。

特别掌握ACL的配置方法：2.掌握使用show access-list、show access-lists、show ip interface[接口名]等命名对路由器ACL列表是否创建及其内容的各种查看与跟踪：3.能按要求利用Cisco Paket Tracer V5.00模拟配置工具绘制出本实验网络拓扑图，并能实现拓扑图物理连接：4.熟悉2种ACL的配置方法及其基本操作步骤；掌握在存根网路种利用ACL将路由器配置为包过滤防火墙方法。

二、实验环境/实验拓扑1、每人一机，安装并配置Cisco Packet Tracer V5.00 模拟配置工具；2、在Cisco Packet Tracer 5.00 模拟配置器中通过添加和连接设备构建出来本实验的相应拓扑；本实验的网络拓扑示意图如图1所示：三、实验内容1.每人一机，安装并配置Cisco Packet Tracer V5.00 模拟配置工具；2.用Cisco Paket Tracer V5.00模拟配置工具绘制出本实验网络拓扑图3.逐个单击网络拓扑图中的每台设备，进入该设备的命令行交互操作，分别配置实现标准ACL及扩展ACL；4.show access-list、show access-lists、show ip interface[接口名]等命名对路由器ACL列表是否创建及其内容的各种查看与跟踪：5.利用ping，traceroute，telnet，debug 等相关命令，进行网络连通性检查和配置结果检查。

四、实验步骤Step1:选择添加3个PC-PT设备，2个2950-24 Switch交换机设备，2个2621XM路由器设备，2个Server-PT服务器设备至逻辑工作空间；（提示：2621XM路由器需要断电后接插WIC-2T模块才有广域网互联用的高速同步串口）Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200)Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1)Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)Step7:将Server0的显示名称改为DNS Server；将Server1的显示名称改为Web Server；Step8:将2621XM Router0路由器的主机名命名为R1；将2621XM Router1路由器的主机名命名为R2；（提示：注意命名顺序和原设备下标应对应）Step9:用正确的连接线缆将PC0、PC1分别连接到2950-24 Switch0交换机的Fastethernet0/2、Fastethernet0/4端口；Step10:用正确的连接线缆将2950-24 Switch0交换机的Fastethernet0/8端口连接到R1的Fastethernet0/0端口；Step11:用正确的连接线缆将PC2、DNS Server分别连接到2950-24 Switch1交换机的Fastethernet0/2、Fastethernet0/4端口；Step12:用正确的连接线缆将2950-24 Switch1交换机的Fastethernet0/8端口连接到R1的Fastethernet0/1端口；Step13:用正确的连接线缆将R1的Serial0/0端口连接到R2的Serial0/0端口；（提示：注意DCE/DTE端的划分：本题设定R2为其两边的路由器提供时钟速率，即：时钟频率在R2上配）Step14:用正确的连接线缆将R2的Fastethernet0/0端口连接到WebServer的Fastethernet端口；Step15:配置R1的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 1.1.1.3、子网掩码: 255.255.255.0、激活端口: no shutdown）Step16:配置R1的Fastethernet0/1端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 2.2.2.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step17:配置R1的Serial0/0端口；（IP地址、子网掩码、封装W AN协议帧格式、激活端口）（IP地址：3.3.3.1、子网掩码：255.255.255.252、封装W AN协议帧格式：encap PPP、激活端口：no shut）Step18:配置R2的Serial0/0端口；（时钟频率、IP地址、子网掩码、封装WAN协议帧格式、激活端口）（时钟频率：clock rate 64000、IP地址：3.3.3.2、子网掩码：255.255.255.252、封装W AN协议帧格式：encap PPP、激活端口：no shut）Step19:配置R2的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 4.4.4.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step20:测试当前各PC设备至各节点的连通性并记录下来。

ACL （access control list）访问控制列表控制列应用到接口生效控制列表语句默认为允许所有，当配置多条语句时，第一条先生效，当控制列表语句发生冲突时，前一条生效最后要拒绝所有没用信息 deny any any拓扑：PC1 ip 192.168.1.2Router 0/0 IP 192.168.1.11/0 IP 192.168.2.1PC2 ip 192.168.2.21.配置标准访问控制列表标准访问控制列表表号是 1－99标准访问控制列表，只能对源主机或网段进行通信设置允许或拒绝（permit/deny）例：禁止 192.168.1.2 主机的出站数据配置PC1 ip：192.168.1.2 网关：192.168.1.1PC2 ip：192.168.2.2 网关：192.168.2.1Router> enRouter# conf terRouter(config)# in f0/0Router(config-if)# ip add 192.168.1.1 255.255.255.0Router(config-if)# no shuRouter(config-if)# in f1/0Router(config-if)# ip add 192.168.2.1Router(config-if)# no shuRouter(config-if)#exitRouter(config)# access-list 1 deny host 192.168.1.2 //创建控制列表名称1 拒绝主机192.168.1.2如果是一个网段Router(config)# acess-lisdt 1 deny 192.168.1.0 0.0.0.255 // 主机IP 接反向子网掩码Router(config)# access-list 1 premit 192.168.1.0 0.0.0.255 //允许192.168.1.0网段的所有主同访问192.168.2.2 Router(config)# access-list 1 deny any any //拒绝所有Router(config)# in f0/0 //将一个控制应用到接口Router(config-if)# ip access-group 1 in //将access-list 1 应用到f0/0接口的入站方向配置命名的访问控制列表Router(config)#ip acess-list standard aaa //创建一个标准的访问控制列表名字 aaaRouter(config-std-nacl)# deny host 192.168.1.2Router(config-std-nacl)#exitRouter(config)# exitRouter# sho acess-list //查看所有访问控制列表配置Router# sho acess-list aaa //查看aaa访问控制列表配置Router# sho ip inter f0/0 //查看f0/0接口的ACL设置--------------------------------------------------------FastEthernet0/0 is up, line protocol is upInternet address is 192.168.10.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledOutgoing access list is not set //出站ACL没有设置Inbound access list is 1 //进站ACL设置access-list 1Proxy ARP is enabledLocal Proxy ARP is disabledSecurity level is defaultSplit horizon is enabledICMP redirects are always sentICMP unreachables are always sentICMP mask replies are never sentIP fast switching is enabledIP fast switching on the same interface is disabledIP Flow switching is disabledIP CEF switching is enabledIP CEF Feature Fast switching turbo vectorIP multicast fast switching is enabledIP multicast distributed fast switching is disabled-----------------------------------------------------------------------2.配置扩展访问控制列表扩展访问控制列表表号是 100－199扩展访问控制列表可以对源和目的主机、网段使用的协议（3层协议）和到达目的端口或协议（4层协议）进行控制端口使用的参数有：LT 小于GT 大于EQ 等于NEQ 不等于配置格式为 Router(config)# access-list (100-199) permin/deny (3层协议) 源地址目的地址例：拒绝192.168.1.2主机与192.168.2.2 的tcp连接 telnet 服务Router> enRouter# conf terRouter(config)# in f0/0Router(config-if)# ip add 192.168.1.1 255.255.255.0Router(config-if)# no shuRouter(config-if)# in f1/0Router(config-if)# ip add 192.168.2.1Router(config-if)# no shuRouter(config-if)# exitRouter(config)# access-list 100 deny tcp host 192.168.1.2 host 192.168.2.2 eq telnet //拒绝主机地址 192.168.1.2 的tcp协议连接主机192.168.2.2 的telnet 服务Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.2//允许192.168.1.0的网段所有主机的所有协议连接主机192.168.2.2Router(config)# access-list 100 deny ip any any //拒绝所有主机配置命名的访问控制列表Router(config)# ip access-list extended aaaRouter(config-ext-nacl)# deny tcp host 192.168.1.2 host 192.168.2.2 eq telnetRouter(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 host 192.168.2.2Router(config-ext-nacl)# deny ip any anyRouter(config-ext-nacl)# exitRouter(config)# exitRouter# sho acess-list //查看所有访问控制列表配置Router# sho acess-list aaa //查看aaa访问控制列表配置Router# sho ip inter f0/0 //查看f0/0接口的ACL设置--------------------------------------------------------FastEthernet0/0 is up, line protocol is upInternet address is 192.168.10.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledOutgoing access list is not set //出站ACL没有设置Inbound access list is 1 //进站ACL设置access-list 1Proxy ARP is enabledLocal Proxy ARP is disabledSecurity level is defaultSplit horizon is enabledICMP redirects are always sentICMP unreachables are always sentICMP mask replies are never sentIP fast switching is enabledIP fast switching on the same interface is disabledIP Flow switching is disabledIP CEF switching is enabledIP CEF Feature Fast switching turbo vectorIP multicast fast switching is enabledIP multicast distributed fast switching is disabled-----------------------------------------------------------------------。