访问控制列表实验

实验2 访问控制列表(ACL)1. 实验目的•编写和应用路由器的访问控制列表。

•掌握利用ACL构筑简单的包过虑防火墙的原理。

2. 实验要求1.独立完成实验内容；2.实验报告；（简单要求如下）1)各实验操作步骤；2)回答实验中提出的问题3)实验结论及分析3. 实验内容实验环境：路由器两台，交叉线一条，交换机两台，学生实验主机在上面的实验环境中，，配置适当的ACL ，实现对特定主机和特定服务的访问控制。

实验环境说明： 1.两个路由器用f0/1 口进行互连2.两个路由器用f0/0口连接实验主机 3.R1 和R2 均配置静态路由(动态路由也行)4.两边主机能互相连通3.1按实验图连接线路3.2标准访问控制列表的配置3.2.1 限制特定主机（网络）的访问在全局配置模式下对R1 进行以下配置R1(config)#ip access-list standard 10R1(config)#permit 192.168.3.1 255.255.255.255R1(config)#interface f0/0R1(config-if)#ip access-group 10 out效果：此时只有192.168.3.1 一台主机能访问192.168.1.0 的网络。

其他非192.168.1.0 网络的主机均无法访问192.168.1.0 网络。

3.2.2 自我测验：设计标准ACL，只允许192.168.3.1 和192.168.1.1 这两个IP 能互相访问___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________3.3 扩展访问控制列表的配置3.3.1 限制对特定服务的访问在R1上配置telnet服务R1(config)# username abc password abc //用户名密码 R1(config)# aaa authentication login login_fortelnet local //配置aaa认证 R1(config)# line vty 0 4 //配置 vtyR1(config_line)# login authentication login_fortelnetR1(config_line)# exit在全局配置模式下对R1 进行以下配置R1(config)#ip access-list extended 101R1(config)#permit tcp 192.168.1.2 255.255.255.255 any eq telnetR1(config)#interface f0/0R1(config-if)#ip access-group 101 in（R2可参照R1的配置方法来配置）想想看：这个ACL 起了什么作用？如何进行验证？___________________________________________________________________________ ___________________________________________________________________________3.3.2 自我测验：如果两个路由器的f0/0 端口的ACL 配置如下：R1(config)#ip access-list extended 10R1(config)#permit 192.168.1.1 255.255.255.255R1(config)#interface f0/0R1(config-if)#ip access-group 10 inR2(config)# ip access-list extended 10R2(config)#permit 192.168.1.1 255.255.255.255R2(config)#interface f0/0R2(config-if)#ip access-group 10 out请问192.168.1.1 的机器能够ping 通192.168.3 网段内的机器吗?为什么?___________________________________________________________________________ ___________________________________________________________________________学一招：可以通过show ip access-list 命令列出所定义的访问控制列表的情况，并且还可以看到有多少个符合ACL 命令条件的匹配包被接收或拒绝。

acl访问控制列表实验报告ACL访问控制列表实验报告摘要：本实验报告旨在介绍ACL访问控制列表的基本概念和原理，并通过实验验证ACL在网络安全中的作用。

通过实验，我们验证了ACL对网络流量的控制和过滤功能，以及其在网络安全中的重要性。

引言：在网络安全中，访问控制是一项重要的措施，用于保护网络资源免受未经授权的访问和攻击。

ACL访问控制列表是一种常用的访问控制技术，它可以根据预先设定的规则来控制网络流量的访问权限，从而有效地保护网络安全。

实验目的：本实验旨在通过实际操作，验证ACL访问控制列表对网络流量的控制和过滤功能，以及其在网络安全中的重要性。

实验环境：本次实验使用了一台路由器和多台主机组成的简单局域网环境。

我们将在路由器上配置ACL规则，来控制主机之间的通信权限。

实验步骤：1. 配置ACL规则：在路由器上，我们通过命令行界面配置了多条ACL规则，包括允许和拒绝某些主机之间的通信。

2. 实验验证：通过在主机之间进行ping测试和HTTP访问测试，验证ACL规则对网络流量的控制和过滤功能。

实验结果：通过实验验证，我们发现ACL访问控制列表可以有效地控制和过滤网络流量。

通过配置ACL规则，我们成功地限制了某些主机之间的通信，同时允许了其他主机之间的通信。

这表明ACL在网络安全中起着重要的作用，可以有效地保护网络资源免受未经授权的访问和攻击。

结论：ACL访问控制列表是一种重要的访问控制技术，可以有效地控制和过滤网络流量，保护网络安全。

通过本次实验，我们验证了ACL在网络安全中的重要性，以及其对网络流量的控制和过滤功能。

我们希望通过这次实验，增强对ACL技术的理解，提高网络安全意识，为网络安全工作提供参考和借鉴。

实验十二、十三IP访问控制列表（ACL）实验1 标准IP访问列表[实验目的]掌握标准IP访问列表规则及配置。

[背景描述]你是一个公司的网络管理员，公司一经理部门用户PC1和一销售部门用户PC2在同一网段内，而财务部门PC3在另一分公司且属另一网段，三部门以下图方式进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部门用户PC1可以对财务部门PC3进行访问。

[实现功能]实现网段间相互访问的安全控制。

[实验拓扑][实验设备]R1762路由器（2台），交换机或集线器（1台）。

[实验步骤]第一步：基本配置Router1配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/2Router(config-if)#ip add 172.16.0.1 255.255.0.0Router(config-if)#no shutRouter(config-if)#int f1/0Router(config-if)#ip add 192.168.0.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2Router2配置：Router>enable 14Password :adminRouter#configure terminalRouter(config)#int s1/3Router(config-if)#ip add 172.16.0.2 255.255.0.0Router(config-if)#no shutRouter(config-if)#clock rate 64000Router(config-if)#int f1/0Router(config-if)#ip add 192.168.1.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#endRouter(config)#ip route 0.0.0.0 0.0.0.0 serial 1/3各PC机IP可按上图示设置为：PC1：IP 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.254；PC2：IP 192.168.0.2 netmask 255.255.255.0 gateway 192.168.0.254；PC3：IP 192.168.1.1 netmask 255.255.255.0 gateway 192.168.1.254。

实验十 ACL访问控制列表一、实验目的掌握编号的标准IP访问列表规则及配置。

二、实验要求实现网段间互相访问的安全控制。

三、实验内容你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的三个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

四、实验环境锐捷R2624或R2620路由器（1台）。

五、实验步骤和方法实验步骤：第一步：基本配置Red-Giant>Red-Giant>enableRed-Giant#configure terminalRed-Giant(config)#hostname R1R1(config)# interface fastEthernet 0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config-if)# interface fastEthernet 1R1(config-if)#ip add 192.168.2.1 255.255.255.0R1(config-if)#no shR1(config-if)#interface fastEthernet 3R1(config-if)#ip add 192.168.3.1 255.255.255.0R1(config-if)#no shR1(config-if)#end测试命令：show ip interface brief ！观察接口状态R1#sh ip int briefInterface IP-Address OK? Method Status Protocol FastEthernet0 192.168.1.1 YES manual up up FastEthernet1 192.168.2.1 YES manual up up FastEthernet2 unassigned YES unset administratively down down FastEthernet3 192.168.3.1 YES manual up up Serial0 unassigned YES unset administratively down downSerial1 unassigned YES unset administratively down down第二步：配置标准IP访问控制列表R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255 ! 拒绝来自192.168.1.0网段的流量通过R1(config)#access-list 1 permit 192.168.3.0 0.0.0.255 ! 允许来自192.168.3.0网段的流量通过验证测试：show access-lists 1R1#sh access-lists 1Standard IP access list 1deny 192.168.1.0, wildcard bits 0.0.0.255permit 192.168.3.0, wildcard bits 0.0.0.第三步：把访问控制列表在接口下应用R1(config)# interface fastEthernet 1R1(config-if)#ip access-group 1 out ! 在接口下访问控制列表出栈流量调用验证测试：show ip access-lists 1ping(192.168.1.0网段的主机不能ping通192.168.2.0网段的主机；192.168.3.0网段的主机能ping通192.168.2.0网段的主机)注意事项：●注意在访问控制列表的网络掩码是反掩码；●标准控制列表要应用在尽量靠近目的地址的接口；●注意标准访问控制列表的编号是从1-99 。

【实验题目】访问控制列表（ACL ）实验 【实验目的】1. 掌握标准访问列表规则及配置。

2. 掌握扩展访问列表规则及配置。

3. 了解标准访问列表和扩展访问列表的区别。

【实验内容】1. 使用RIP 路由协议连通实验网（实现三台PC 的相互通信）。

2. 配置标准ACL 并验证，注意在实验报告中体现前后对比。

限制PC3访问PC2，说明放置位置，放置方向（in/out ），为什么。

3. 配置扩展ACL 并验证，注意在实验报告中体现前后对比。

限制PC3访问PC2，说明放置位置，放置方向（in/out ），为什么。

并比较标准ACL 和扩展ACL 的区别。

（注意先将标准ACL 移除） 4. 在三个路由器使用DEBUG IP ICMP 命令跟踪数据包（测试时使用PING -T 命令）。

【实验拓扑】要求画出拓扑图【实验步骤】1. 使用RIP 路由协议连通实验网（实现三台PC 的相互通信）。

步骤1：Router1基本配置1） 为Router1的F0/0端口设置ip 地址 192.168.1.1 255.255.255.0，从关闭状态设为打开状态。

2） 为Router1的F0/1端口设置ip 地址 192.168.2.1 255.255.255.0，从关闭状态设为打开状态。

3） 为Router1的serial 2/0 端口设置ip 地址 192.168.3.1 255.255.255.0,时钟频率为64000，从关闭状态设为打开状态。

步骤2：Router2基本配置1） 为Router2 的F0/0 端口设置ip 地址 192.168.4.2 255.255.255.0, 从关闭状态设为打开状态。

2) 为Router2的serial 2/0 端口设置ip 地址 192.168.3.2 255.255.255.0, 从关闭状态设为打开状态。

步骤3：Router1 配置RIP 路由协议Router1(config)# router ripRouter1(config-router)#network 192.168.1.0 Router1(config-router)#network 192.168.2.0 Router1(config-router)#network 192.168.3.0 Router1(config-router)#version 2 Router1(config-router)#no auto-summary院系 班 级 组长学号 学生步骤4：Router2 配置RIP 路由协议Router2(config)# router ripRouter2(config-router)#network 192.168.3.0Router2(config-router)#network 192.168.4.0Router2(config-router)#version2Router2(config-router)#no auto-summary各台机可互相ping通：2.配置标准ACL并验证，注意在实验报告中体现前后对比。

访问控制列表实验报告介绍访问控制列表（Access Control List）是一种用于网络安全的重要工具。

它用于限制用户或设备对网络资源的访问权限，以保护网络的安全和保密性。

在本实验中，我们将学习如何配置和管理访问控制列表，并通过实际的示例来演示ACL的工作原理和应用。

实验目标本实验的目标是帮助学生理解访问控制列表的基本概念和配置方法。

具体而言，我们将关注以下方面：1.访问控制列表的作用和用途；2.如何配置和管理访问控制列表；3.不同类型的访问控制列表及其应用场景。

实验步骤步骤一：了解访问控制列表访问控制列表是一种在路由器或交换机上配置的规则集合，用于控制网络流量的访问权限。

它基于源地址、目的地址、协议类型等条件来限制特定用户或设备对网络资源的访问权限。

ACL可以分为两种类型：标准ACL和扩展ACL。

标准ACL仅使用源地址作为匹配条件，而扩展ACL可以使用更多的条件来进行匹配，例如源地址、目的地址、协议类型、端口号等。

步骤二：配置访问控制列表在这个实验中，我们将使用一台路由器进行ACL的配置示例。

以下是一些基本的ACL配置命令：Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255上述命令创建了一个标准ACL，允许所有源地址为192.168.0.0/16的流量通过。

Router(config)# access-list 2 permit tcp any host 192.168.1.1 eq 80上述命令创建了一个扩展ACL，允许任何源地址的TCP流量通过到目的地址为192.168.1.1、目的端口号为80的主机。

步骤三：应用访问控制列表完成ACL的配置后，我们需要将其应用到实际的接口或接口组上。

以下是一些基本的ACL应用命令：Router(config-if)# ip access-group 1 in上述命令将ACL 1应用到接口的入方向，用于限制进入该接口的流量。

访问控制列表实验ACL可以限制网络流量、提高网络性能，为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。

ACL可以限制网络流量、提高网络性能，为了保护内网的安全，可以只允许内网访问外网，不允许外网访问内网，这里利用cisco 路由器的自反ACL来实现。

用户需要配置路由协议，以下配置的是RIP Version1的，也可以配置别的，如EIGRP或OSPF。

一、实验拓扑图二、实验要求要求内网可以主动访问外网，但是外网不能主动访问内网，从而有效保护内网。

三、实验配置1、配置路由器，并在R1、R3上配置默认路由确保IP连通性。

R1(config)#interface s0/0/0R1(config)#ip address 192.168.12.1 255.255.255.0R1(config)#no shutdownR1(config)#interface g0/0R1(config)#ip address 172.16.1.1 255.255.255.0R1(config)#no shutdownR1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2R2(config)#interface s0/0/0R2(config)#ip address 192.168.12.2 255.255.255.0R2(config)#no shutdownR2(config)#interface s0/0/1R2(config)#ip address 202.210.23.2 255.255.255.0R2(config)#no shutdownR3(config)#interface loopback 0R3(config)#ip address 3.3.3.3 255.255.255.0R3(config)#no shutdownR3(config)#interface s0/0/1R3(config)#ip address 202.210.23.3 255.255.255.0R3(config)#no shutdownR3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.22、在路由器R2上配置自反ACLR2(config)#ip access-list extended ACLOUTR2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL R2(config-ext-nacl)#permit udp any any reflect REFR2(config)#ip access-list extended ACLINR2(config-ext-nacl)#evaluate REF //评估反射R2(config)#int s0/0/1R2(config-if)#ip access-group ACLOUT outR2(config-if)#ip access-group ACLIN inPS：(1)、自反ACL永远是permit的;(2)、自反ACL允许高层Session信息的IP包过滤;(3)、利用自反ACL可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流量，从而可以更好地保护内部网络;(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的，并且当Session 结束条目就删除;(5)、自反ACL不是直接被应用到某个接口下的，而是嵌套在一个扩展命名访问列表下的。

实验七 标准访问控制列表一、编号标准访问控制列表1．按图7-1将实验设备连接好。

图7-12．对PC 和路由器进行基本配置。

A. PC 机配置PC1的IP 地址为192.168.1.10，子网掩码为255.255.255.0，默认网关为192.168.1.1。

PC2的IP 地址为192.168.2.10，子网掩码为255.255.255.0，默认网关为192.168.2.1。

PC3的IP 地址为192.168.3.10，子网掩码为255.255.255.0，默认网关为192.168.3.1。

B.路由器基本配置R1(config)#interface fastethernet 1/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface fastethernet 1/1R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface serial 1/2R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#endR1#show ip interface brief R1#configure terminalR1(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2PC3 3.10192.168.3.0/24192.168.12.0/24PC1 R1R2F1/0 3.1S1/2 12.2S1/2 12.1R2(config)#interface fastethernet 1/0R2(config-if)#ip address 192.168.3.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exitR2(config)#interface serial 1/2R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#endR2#show ip interface brief R2#configure terminalR2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.13. 测试网络的连通性。

访问控制列表（ACL）配置实验报告实验四访问控制列表（ACL）配置1、实验目的：（1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。

（2）思科交换机的基本ACL配置2、实验环境：利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。

通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。

3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。

（2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数）。

（3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。

将该列表应用于路由器的相应端口。

然后，进行相应的Ping测试。

（4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。

将该列表应用于路由器的相应端口，最后进行相应的Ping测试。

2.3 实验步骤（1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。

（2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为：255.255.255.0，网关为：192.168.1.1，如下图2-2所示：其他PC机的配置方法类似，配置如下：PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1（3）进入第一台思科1912交换机的CLI界面，做如下配置：>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面，将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2，子网掩码配置为255.255.255.0，默认网关与其他PC 机一样，为192.168.1.1 ，最后退出全局配置界面。

实验四：访问控制列表（ACL）配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

2、访问控制列表的分类：1. 基本的访问控制列表（basic acl）2.高级的访问控制列表（advanced acl）3.基于接口的访问控制列表（interface-based acl）4. 基于MAC的访问控制列表（mac-basedacl）三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：可以飞鸽传书，可以PING通对方IP实验结果截图如下测试二：试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据，和使用PING与对方通信。

实验效果：Router A/B这一组是通过配置AR28-1的ACL，使用与Router C/D这一组的PC机的飞鸽传书不能传输数据，可以发送聊天信息，可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答：ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。

每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。

由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

访问控制列表（ACL）实验报告1. 实验简介本实验旨在介绍访问控制列表（Access Control List，ACL）的基本概念和使用方法。

ACL是一种用于限制对网络资源访问的方式，通过配置规则表来控制网络流量的传输。

本实验将分为以下几个步骤进行。

2. 实验环境在进行实验前，我们需要准备以下环境：•一台已安装操作系统的计算机•网络设备（如路由器、交换机等）•网络拓扑图（可参考附录）3. 实验步骤步骤一：了解ACL的基本概念在开始配置ACL之前，我们需要了解ACL的基本概念。

ACL由一条或多条规则组成，每条规则定义了一种访问控制策略。

ACL可以基于源IP地址、目标IP地址、协议类型、端口号等信息进行过滤。

步骤二：创建ACL对象我们首先需要在网络设备上创建ACL对象。

打开命令行界面，输入以下命令来创建一个名为“ACL1”的ACL对象：config terminalip access-list extended ACL1步骤三：配置ACL规则接下来，我们可以通过添加ACL规则来实现访问控制。

假设我们要限制某个IP地址的访问权限，可以输入以下命令来添加ACL规则：permit ip 192.168.0.1 any上述命令表示允许IP地址为192.168.0.1的主机访问任何目标IP地址。

同样地，我们可以添加更多的规则来满足需求。

步骤四：将ACL应用到接口在配置完ACL规则后，我们需要将ACL应用到网络设备的接口上，以实现访问控制。

假设我们要将ACL1应用到接口GigabitEthernet0/1上，可以输入以下命令：interface GigabitEthernet0/1ip access-group ACL1 in上述命令中的“in”表示将ACL应用到入向流量上。

如果需要将ACL应用到出向流量上，可以使用“out”参数。

步骤五：验证ACL配置最后，我们需要验证ACL的配置是否生效。

可以通过发送测试流量来检查ACL 是否按照预期工作。

访问控制列表实验报告《访问控制列表实验报告》摘要：本实验旨在通过实际操作，了解和掌握访问控制列表（ACL）的基本概念和应用。

通过对ACL的配置和管理，实现对网络资源的访问控制和权限管理。

本文将详细介绍实验的目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行总结和分析。

1. 实验目的访问控制列表（ACL）是一种用于控制网络资源访问权限的重要机制，通过ACL可以对网络流量进行过滤和控制，保护网络安全。

本实验旨在通过实际操作，掌握ACL的基本概念和配置方法，实现对网络资源的访问控制和权限管理。

2. 实验环境本次实验使用了一台路由器和多台计算机组成的局域网，通过路由器进行网络流量的控制和管理。

实验中使用了Cisco路由器，并配置了基本的网络环境和访问控制列表。

3. 实验步骤（1）配置路由器基本网络环境，包括IP地址、子网掩码等；（2）创建访问控制列表，并定义访问控制规则；（3）将访问控制列表应用到路由器的接口上，实现对网络流量的控制和管理；（4）测试ACL的效果，验证ACL对网络流量的过滤和控制。

4. 实验结果通过实验操作，成功创建了访问控制列表，并将其应用到路由器的接口上。

在测试过程中，发现ACL可以有效地对网络流量进行过滤和控制，实现了对特定IP地址或端口的访问限制。

5. 问题与解决在实验过程中，遇到了一些配置和测试中的问题，如ACL规则的定义和应用不当导致网络流量无法正常通过等。

通过查阅资料和与实验指导老师讨论，最终找到了解决方案，并成功完成了实验目标。

6. 总结与展望本次实验通过实际操作，加深了对访问控制列表的理解和应用，掌握了ACL的配置和管理技术。

ACL作为网络安全的重要手段，对于保护网络资源和数据具有重要意义。

未来，可以进一步学习和探索ACL在实际网络环境中的应用，提高网络安全性和管理效率。

通过本次实验，对访问控制列表有了更深入的了解，掌握了其基本配置和应用方法，为今后的网络管理和安全工作奠定了基础。

访问控制列表(acl)实验报告访问控制列表（Access Control Lists，简称ACL）是一种用于控制网络资源访问权限的技术。

通过ACL，网络管理员可以根据需要限制或允许特定用户或用户组对网络资源的访问。

本文将介绍ACL的基本概念、实验过程以及实验结果。

一、ACL的基本概念ACL是一种应用于路由器或交换机等网络设备上的访问控制机制。

它通过在设备上设置规则，控制网络流量的进出。

ACL的规则由访问控制表（Access Control Table）组成，每个规则由一个或多个条件和一个动作组成。

条件可以是源IP地址、目的IP地址、协议类型、端口号等，动作可以是允许通过、阻止或丢弃数据包。

二、实验过程1. 实验环境准备为了进行ACL实验，我们需要准备一台路由器或交换机，并连接一些主机和服务器。

在实验开始之前，需要确保所有设备的网络连接正常，并且已经了解每个设备的IP地址和子网掩码。

2. 创建ACL规则在路由器或交换机上，我们可以通过命令行界面（CLI）或图形用户界面（GUI）来创建ACL规则。

这里以CLI为例，假设我们要限制某个子网内的主机访问外部网络。

首先，我们需要创建一个ACL，并定义允许或阻止的动作。

例如，我们可以创建一个允许外部网络访问的ACL规则，命名为“ACL-OUT”。

然后，我们可以添加条件，比如源IP地址为内部子网的地址范围，目的IP地址为任意外部地址，协议类型为TCP或UDP，端口号为80（HTTP）或443（HTTPS）。

3. 应用ACL规则创建ACL规则后，我们需要将其应用到适当的接口或端口上。

这样，所有经过该接口或端口的数据包都会受到ACL规则的限制。

在路由器或交换机上，我们可以使用“应用ACL”命令将ACL规则应用到指定的接口或端口上。

例如，我们可以将“ACL-OUT”规则应用到连接外部网络的接口上，从而限制内部子网的主机访问外部网络。

4. 测试ACL规则在应用ACL规则后，我们可以进行一些测试来验证ACL的有效性。

访问控制列表(acl)实验报告访问控制列表（ACL）实验报告引言访问控制列表（ACL）是网络安全中常用的一种技术，它可以帮助网络管理员控制用户或者系统对资源的访问权限。

为了更好地了解ACL的工作原理和应用，我们进行了一系列的实验，并撰写了本报告，以总结实验结果并分享我们的经验。

实验目的本次实验的目的是探索ACL的基本概念、配置方法和应用场景，通过实际操作来加深对ACL的理解，并验证ACL在网络安全中的重要性和作用。

实验内容我们首先学习了ACL的基本概念和分类，包括标准ACL和扩展ACL。

接着，我们使用网络模拟软件搭建了一个简单的网络环境，并在路由器上配置了ACL，限制了不同用户对特定资源的访问权限。

我们还进行了一些模拟攻击和防御的实验，比如尝试绕过ACL进行非法访问，以及通过ACL阻止恶意访问。

实验结果通过实验，我们深入了解了ACL的配置方法和工作原理。

我们发现，ACL可以有效地限制用户或系统对网络资源的访问，提高了网络的安全性。

同时，ACL也能够帮助网络管理员更好地管理网络流量和资源利用，提高网络的性能和效率。

实验结论ACL是网络安全中一种重要的访问控制技术，它能够有效地保护网络资源不受未经授权的访问和攻击。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用，认识到ACL在网络安全中的重要性。

我们将继续学习和探索ACL的更多应用场景，并将ACL技术应用到实际的网络安全实践中，保护网络资源的安全和完整性。

总结通过本次实验，我们对ACL有了更深入的了解，并且掌握了ACL的基本配置方法和应用技巧。

我们相信ACL将在未来的网络安全中发挥越来越重要的作用，我们将继续学习和研究ACL技术，为网络安全做出更大的贡献。

实训报告实验名称访问控制列表课程名称计算机网络1.实验目的掌握访问控制列表的概念。

能对路由器进行访问控制列表的设置。

2.实验环境（1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。

（2）在计算机上安装有windows xp 的操作系统，并且安装有Cisco Packet Tracer 软件。

3.实训规划和拓扑图规划：4、实验要求：要求：a、Lan 1 不能访问lan 2 .b、Lan 1 能访问lan 3 不能访问lan 4.c、Lan 2能访问lan 4 不能访问lan 3.5、实验步骤：（1）按照规划，构建拓扑图。

（标注好各个接口，和ip地址）（2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip 2.通过show ip route是否学到全网的路由。

R1结果如下：R2结果如下：（3）配置访问控制列表：针对要求：Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)在R1：access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR1的接口f0/1: ip access-group 1 out针对要求：Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照)在R2 :access-list 1 deny 20.0.0.0 0.0.0.255access-list 1 permit anyR2.f0/1 ip access-group out针对要求：Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照)在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255aceess-list 2 permit anyR2.f0/0:ip access-group 2 out6、实验结果：（1）针对要求：Lan 1 不能访问lan 2. 测试有以下结果：pc1 ping pc2不通，符合要求1，如下图所示。

访问控制列表acl实验报告访问控制列表（ACL）实验报告引言在计算机网络中，访问控制列表（ACL）是一种用于控制网络资源访问权限的重要技术。

通过ACL，网络管理员可以限制特定用户或设备对网络资源的访问，从而提高网络安全性和管理效率。

为了深入了解ACL的工作原理和应用场景，我们进行了一系列的ACL实验，并撰写了本实验报告。

实验目的本次实验旨在通过搭建网络环境和配置ACL规则，探究ACL在网络安全管理中的作用和应用。

实验环境我们搭建了一个简单的局域网环境，包括一台路由器和多台主机。

路由器上运行着一个基于ACL的访问控制系统，可以对主机之间的通信进行控制。

实验步骤1. 配置ACL规则：我们首先在路由器上配置了一系列ACL规则，包括允许或拒绝特定主机的访问请求，以及限制特定协议或端口的通信。

2. 实施ACL控制：接下来，我们模拟了不同的网络访问场景，例如试图访问被ACL规则拒绝的资源、尝试使用被ACL规则限制的协议进行通信等，以验证ACL规则的有效性和准确性。

3. 分析实验结果：通过观察实验过程中的网络通信情况和ACL规则的生效情况，我们对ACL的工作原理和应用进行了深入分析和总结。

实验结果在实验过程中，我们发现ACL可以有效地限制不同主机之间的通信，保护网络资源的安全。

通过合理配置ACL规则，我们可以实现对特定用户或设备的访问控制，从而提高网络的安全性和管理效率。

结论ACL作为一种重要的网络安全技术，在实验中展现出了其强大的功能和应用价值。

通过本次实验，我们更加深入地了解了ACL的工作原理和应用场景，为今后的网络安全管理工作提供了重要的参考和借鉴。

ACL将继续在网络安全领域发挥重要作用，我们也将继续深入研究和应用ACL技术，为网络安全做出更大的贡献。

实验五、访问控制列表5.1实验目的1．熟悉路由器的包过滤的核心技术：访问控制列表。

2. 掌握访问控制列表的相关知识。

3. 掌握访问控制列表的应用，灵活设计防火墙。

5.2 设备需求(1) 2台路由器。

(2) 1～2台交换机(可选)。

(2) 2～5台PC机。

(3) 2根Console控制台电缆(一端接交换机Console端口，一端接PC机串口)。

(4) 2根V.35电缆。

5.3 实验环境图5-1 访问控制列表配置实验5.4实验内容和步骤1. 基本访问控制列表(序号为2000～2999)基本访问控制列表只使用数据包的源地址来判断数据包，所以它只能以源地址来区分数据包，源相同而目的不同的数据包也只能采取同一种策略。

所以利用标准访问控制列表，我们只能粗略的区别对待网内的用户群，那些主机能访问外部网，那些不能。

在实验环境中，我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络，则只需在路由器上进行如下配置即可。

(1) 配置访问控制列表在路由器RTA上配置：进入超级终端，进入路由器的系统视图。

[RTA] firewall enable[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.0.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.1 24[RTA-Serial5/0] quit[RTA] rip[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.0.0[RTA-rip-1] quit允许IP地址是202.0.0.2的特定主机访问外部网络，而禁止该网段的其他主机访问外部网络。

[RTA] acl number 2001[RTA-acl-basic-2001] rule permit source 202.0.0.2 0.0.0.0[RTA-acl-basic-2001] rule deny source 202.0.0.2 0.0.0.255[RTA-acl-basic-2001] quit[RTA] interface Serial5/0[RTA-Serial5/0] firewall packet-filter 2001 outbound[RTA] display ip routing-tableRouting Tables: PublicDestinations : 8 Routes : 8Destination/Mask Proto Pre Cost NextHop Interface127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.0/24 Direct 0 0 192.0.0.1 S5/0192.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0192.0.0.2/32 Direct 0 0 192.0.0.2 S5/0202.0.0.0/24 Direct 0 0 202.0.0.1 GE0/0202.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0202.0.1.0/24 RIP 100 1 192.0.0.2 S5/0在路由器RTB上配置：[RTA] interface GigabitEthernet0/0[RTA-GigabitEthernet0/0] ip address 202.0.1.1 24[RTA-GigabitEthernet0/0] interface Serial5/0[RTA-Serial5/0] ip address 192.0.0.2 24[RTA-Serial5/0] quit[RTA] rip // 启动路由协议[RTA-rip-1] network 192.0.0.0[RTA-rip-1] network 202.0.1.0[RTA-rip-1] quit(2) 验证访问控制列表的作用在PCA主机(IP地址是：202.0.0.2)的命令窗口，Ping PCD主机(IP地址是：202.0.1.2)：Ping 202.0.1.2应该能Ping 通，而在主机PCB(IP地址是：202.0.0.3，若实验中仅有2台PC机，则需将PCA 主机的IP地址改为202.0.0.3)的命令窗口，Ping PCD主机，则不能Ping 通。

访问控制列表试验报告小组成员号数：39、40、41、42、43、44、45、46、47 1、实验目的通过扩展IP访问控制列表，使得路由器R1无法远程登录到R2，并且R2能够http到R1。

二、实验原理管理网络中逐步增长的IP 数据，没有设置访问列表时，所有的数据包都会在网络上传输。

当数据通过路由器时进行过滤、允许、拒绝数据包通过路由器等这些操作都需要用到访问控制列表，本实验也是基于这个原理来达到目的的。

三、访问控制列表的注意事项访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据四、实验拓扑五、实验步骤1、按照实验拓扑图连接好实物图2、在PC机和路由器的两个端口里都配置好如图所示的IP地址。

3、两台PC机分别PING自身的网关来测试连接情况4、在路由器上配置访问控制列表的命令，配置的格式可以参考如下：设置访问列表的参数access-list access-list-number { permit | deny } protocolsourcesource-wildcard [operator port] destination destination-wildcard[ operator port ] [ established ] [log]在端口上应用访问列表Router(config-if)# ip access-group access-list-number { in |out }5、测试：PC0 远程登录到PC1，看是否可行，理论上是不行的6、测试：PC1 http访问PC1，根据所写的列表语句，理论上是可行的。

访问控制列表实验什么是访问控制列表？访问控制列表(ACL)是应用在路由器接口的指令列表，用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。

ACL是路由器中不可缺少的另一大功能，主要应用在边界路由器跟防火墙路由器。

实验拓扑图RouterBrouter A 的IP地址：F0/1 172.1.1.1/24（主机网关地址）S0/0 192.168.1.1/24router B 的IP地址：S0/1 192.168.1.2/24F0/0 172.2.2.1/24（主机网关地址）host A的IP地址: 172.1.1.2/24 host B的IP地址: 172.1.1.3/24host C的IP地址: 172.1.1.4/24 host D的IP地址: 172.2.2.2/24host E的IP地址: 172.2.2.3/24 host F的IP地址: 172.2.2.4/24实验要求：1.ACL能正常工作的前提是所有主机都能ping通。

（采用RIP路由协议）2.路由器的基本配置: 1)设置路由器接口IP地址。

2)配置RIP路由3.根据以上拓扑划分出的2个网段，要求禁止主机F访问172.1.1.0/24网段。

该如何实现？一、实验步骤：路由器的基本配置: 1)、设置路由器接口IP地址。

1．router A 的配置：router B的配置：2．配置RIP路由：router A 的配置：router B的配置：3．接下来测试一下host A、host B 、host C、host D、host E 、host F是否都能互相ping 通，如果都能互通我们再做下面的步骤。

4．标准访问控制列表：要求禁止主机F访问172.1.1.0/24网段。

对router A 进行配置：关于命令行的解释：（课本P117）Router(config)#access-list access-list-number {permit|deny} {test-conditions}其中access-list-number就是列表号，范围为1~99（扩展的访问控制列表列表号为100~199），permit（允许）和deny（拒绝）必须选其一，test-conditions为设定的比较条件，如本实验的access-list 1 deny 172.2.2.4 0.0.0.0，创建一条列表，列表号为1，拒绝172.2.2.4主机的访问，0.0.0.0为反转掩码（上节课讲过）；假设要禁止172.2.2.0/24整个网段所有的主机访问172.1.1.0/24网段，那么访问控制列表为access-list 2 deny 172.2.2.0 0.0.0.255。

访问控制列表实验报告访问控制列表实验报告引言：在网络安全领域，访问控制是一项至关重要的任务。

为了保护网络资源免受未经授权的访问和恶意攻击，许多组织和个人采用了访问控制列表（ACL）作为一种有效的安全措施。

本实验报告将介绍ACL的概念、分类和实验过程，并对实验结果进行分析和总结。

一、ACL的概念和分类访问控制列表是一种用于限制或允许特定用户或主机对网络资源进行访问的策略。

它可以根据源IP地址、目标IP地址、协议类型和端口号等条件进行过滤和控制。

根据应用场景和实现方式的不同，ACL可以分为两种类型：基于网络层的ACL和基于应用层的ACL。

基于网络层的ACL是在网络设备（如路由器、防火墙）上实现的，它通过检查数据包的源IP地址和目标IP地址来决定是否允许传输。

这种ACL通常用于控制网络流量，可以提高网络性能和安全性。

基于应用层的ACL是在应用程序或操作系统中实现的，它通过检查数据包的协议类型和端口号来决定是否允许传输。

这种ACL通常用于控制特定应用程序的访问权限，例如Web服务器、FTP服务器等。

二、实验过程为了深入理解ACL的实际应用和效果，我们进行了一系列实验。

首先，我们在一台路由器上配置了基于网络层的ACL，限制了某个特定IP地址的访问权限。

然后，我们使用另一台主机尝试从被限制的IP地址访问目标主机，观察ACL的效果。

实验结果显示，当我们尝试从被限制的IP地址访问目标主机时，数据包被路由器拦截并丢弃，无法成功建立连接。

这证明ACL能够有效地阻止未经授权的访问，提高了网络的安全性。

接下来，我们进行了基于应用层的ACL实验。

我们在一台Web服务器上配置了ACL，限制了某个特定端口的访问权限。

然后，我们使用另一台主机尝试从被限制的端口访问Web服务器，观察ACL的效果。

实验结果显示，当我们尝试从被限制的端口访问Web服务器时，连接被拒绝，无法获取到Web页面。

这再次证明了ACL的有效性，它可以帮助我们控制特定应用程序的访问权限，保护网络资源的安全。