实验 八 扩展IP访问控制列表配置

实训：扩展访问控制列表（命名）任务目标：在校园网路由器上配置扩展ACL，保护教师网络中FTP服务器的安全。

一、实训拓扑图1、PC1参数配置（IP、子网掩码、网关）2、PC2参数配置（IP、子网掩码、网关）3、路由器基本配置（接口地址；路由rip）R1配置：Router>enRouter#conf tRouter(config)#hostname R1R1(config)#interface fastEthernet 0/0R1(config-if)#ip address 172.16.1.2 255.255.255.0 R1(config-if)#no shutR1(config)#intfa 0/1R1(config-if)#ip add 172.16.2.1 255.255.255.0R2(config-if)#no shutR1(config)#router ripR1(config-router)#version 2R1(config-router)#network 172.16.1.0R1(config-router)#network 172.16.2.0R1(config-router)#no auto-summaryR1(config-router)#endR2配置Router>enRouter#conf tRouter(config)#hostname R2R2(config)#interface fastEthernet 0/0R2(config-if)#ip address 172.16.3.2 255.255.255.0 R2(config-if)#no shutR2(config)#intfa 0/1R2(config-if)#ip add 172.16.2.2 255.255.255.0R2(config-if)#no shutR2(config)#router ripR2(config-router)#version 2R2(config-router)#network 172.16.2.0R2(config-router)#network 172.16.3.0R2(config-router)#no auto-summaryR2(config-router)#end4、全网通信PING通测试FTP服务器测试5、访问控制列表配置（标准访问控制列表）R2(config)#ip access-list extended deny-studentR2(config)#access-list deny tcp 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 20 R2(config)#access-list deny tcp 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 21 R2(config)#access-list permit ip any anyR2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group deny-studentinR2(config-if)#no shutR2(config-if)#四、项目测试全网通信到学生区访问不到教师区的FTP服务器。

第14章扩展IP访问控制列表配置技术原理访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域。

扩展IP访问列表（编号100-199，2000-2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

扩展IP访问列表的配置包括以下两步：定义扩展IP访问列表。

将扩展IP访问列表应用于特定接口上。

实验步骤新建Packet Tracer拓扑图（如下图）（1）分公司出口路由器与外部路由器之间通过V.35串口电缆连接，DCE端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置PC机、服务器及路由器接口IP地址。

（3）在各路由器上配置静态路由协议，让PC间能相互ping通，因为只有在互通的前提下才能涉及到访问控制列表。

（4）在R2上配置编号的IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

路由器0：Router>enRouter#conf tRouter(config)#int fastEthernet 0/0Router(config-if)#ip address 172.16.1.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int f 1/0Router(config-if)#ip address 172.16.2.1 255.255.255.0Router(config-if)#no shutRouter(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2（设置默认静态路由）Router(config)#end路由器1：Router>enRouter#conf tRouter(config)#int f 0/0Router(config-if)#ip address 172.16.2.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int s 2/0Router(config-if)#ip address 172.16.3.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#clock rate 64000Router(config-if)#exitRouter(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1（设置静态路由）Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2（设置静态路由）Router(config)#endRouter#show ip route172.16.0.0/24 is subnetted, 4 subnetsS 172.16.1.0 [1/0] via 172.16.2.1C 172.16.2.0 is directly connected, FastEthernet0/0C 172.16.3.0 is directly connected, Serial2/0S 172.16.4.0 [1/0] via 172.16.3.2Router#conf tRouter(config)#access-list ?<1-99> IP standard access list<100-199> IP extended access listRouter(config)#access-list 100 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry commentRouter(config)#access-list 100 pRouter(config)#access-list 100 permit ?eigrp Cisco's EIGRP routing protocolicmp Internet Control Message Protocolip Any Internet Protocolospf OSPF routing protocoltcp Transmission Control Protocoludp User Datagram ProtocolRouter(config)#access-list 100 permit tcp ?A.B.C.D Source addressany Any source hosthost A single source hostRouter(config)#access-list 100 permit tcp hoRouter(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 ?eq Match only packets on a given port numberestablished establishedgt Match only packets with a greater port numberlt Match only packets with a lower port numberneq Match only packets not on a given port numberrange Match only packets in the range of port numbers<cr>Router(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq ?<0-65535> Port numberftp File Transfer Protocol (21)pop3 Post Office Protocol v3 (110)smtp Simple Mail Transport Protocol (25)telnet Telnet (23)www World Wide Web (HTTP, 80)Router(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www Router(config)#access-list 100 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry commentRouter(config)#access-list 100 deny ?eigrp Cisco's EIGRP routing protocolicmp Internet Control Message Protocolip Any Internet Protocolospf OSPF routing protocoltcp Transmission Control Protocoludp User Datagram ProtocolRouter(config)#access-list 100 deny icmp host 172.16.1.2 host 172.16.4.2 Router(config)#int s 2/0Router(config-if)#ip access-group 100 outRouter(config-if)#end路由器2：Router>enRouter#conf tRouter(config)#int s 2/0Router(config-if)#ip address 172.16.3.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int f 0/0Router(config-if)#ip address 172.16.4.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1（设置默认静态路由）Router(config)#end。

中北大学计算机与控制工程学院实验报告组号________ 学号 ____ ___ 姓名 ____ 实验时间__2014-_______ 课程名称：网络设备与集成辅导教师：韩慧妍【实验名称】IP访问控制列表的配置【实验任务】任务1：标准IP访问控制列表的配置实验任务2：配置PPP协议的CHAP单向认证实验任务3：命名的IP访问控制列表的配置实验任务1：标准IP访问控制列表的配置实验【实验目的】配置标准IP ACL，理解ACL的原理、功能和相关注意事项；掌握对指定主机和指定网络规划安全策略的方法；掌握标准IP ACL配置的相关命令。

【实验设备和连接】实验设备和连接如图所示：两台R1762路由器的两个FastEthernet接口各连接一个PC，路由器之间串口相连。

图1标准IP ACL的配置实验【实验分组】每四名同学为一组，其中每两人一小组，每小组各自独立完成实验。

【实验内容】步骤1：完成设备连接和路由器基本配置：R1762-1的配置为：router (config)# hostname R1 762-1 ！配置设备名R1762-1 (config)# interface fastEthernet 1/0 ! 配置fastethernet 1/0接口R1762-1 (config-if)# ip address 172.16.10.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-1 (config-if)# interface fastEthernet 1/1 ! 配置fastethernet 1/1接口R1762-1 (config-if)# ip address 172.16.11.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-1 (config-if)# interface serial 1/2 ! 配置Serial 1/2接口R1762-1 (config-if)# ip address 172.16.1.1 255.255.255.0R1762-1 (config-if)# no shutdownR1762-2的配置为：router (config)# hostname R1 762-2 ！配置设备名R1762-2 (config)# interface fastEthernet 1/0 ! 配置fastethernet 1/0接口R1762-2 (config-if)# ip address 172.16.20.1 255.255.255.0R1762-2 (config-if)# no shutdownR1762-2 (config-if)# interface fastEthernet 1/1 ! 配置fastethernet 1/1接口R1762-2 (config-if)# ip address 172.16.21.1 255.255.255.0R1762-2 (config-if)# no shutdownR1762-2 (config-if)# interface serial 1/2 ! 配置Serial 1/2接口R1762-2 (config-if)# ip address 172.16.1.2 255.255.255.0R1762-2 (config-if)# no shutdown配置完成后，可以使用show ip interface命令检查设备的接口配置，确定设备的接口配置完成，F1/0、F1/1和S1/2的状态为UP。

扩展IP访问控制列表配置实验目标理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；实验背景你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了平安起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。

PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。

技术原理访问列表中定义的典型规那么主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表〔编号100-199、2000、2699〕使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规那么，进行数据包的过滤。

扩展IP访问列表的配置包括以下两部：i.定义扩展IP访问列表ii.将扩展IP访问列表应用于特定接口上实验设备PC 1台；Server-PT 1台；Router-PT 3台；交叉线；DCE串口线PC0IP:Submask:Gateway: Server0IP:Submask:Gateway:操作流程：Router0enconf thost R0ipno shutdownint fa 1/0ipno shutdownexitRouter1enconf thost R1int fa 1/0ipno shutdownint s 2/0ipno shutdownclock rate 64000Router2enconf thost R2ipno shutdownint fa 0/0ipno shutdownRouter0ip routeRouter2exitip routeRouter1eixtipipendshow ip routePC0ping 172.16.4.2(success)Web浏览器：://172.16.4.2(success) Router1conf taccess-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq wwwaccess-lint 100 deny icmp host 172.16.1.2 host 172.16.4.2 echoint s 2/0ip access-group 100 outendPC0Web浏览器：://172.16.4.2(success)ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)。

IP访问控制列表（ACL）实验【实验目的】掌握网络交换设备的标准IP访问列表规则及配置。

1.准备知识IP ACL(IP访问控制列表或IP访问列表)，是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。

从而提高网络可管理性和安全性。

类似于包过滤防火墙的功能。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用方向分为：入口应用和出口应用。

入口应用是对由外部经该接口进入路由器的数据包进行过滤。

出口应用是对从路由器接口向外转发数据时的数据包过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

2.实验模拟环境和拓扑图在3760三层交换机上连着学校的服务器，另外还连接着学生宿舍楼和学校的办公区，学校规定学生宿舍楼只能访问学校的Web服务器，不能访问办公区。

办公区可以访问学校的Web和FTP服务器。

先配置好VLAN 10中的Web/FTP服务器。

3.配置命名的标准IP访问列表根据以上要求，配置步骤如下：（1）配置三个VLAN：Switch(config)#vlan 10Switch(config-vlan)#name serverSwitch(config)#vlan 20Switch(config-vlan)#name teachersSwitch(config)#vlan 30Switch(config-vlan)#name students（2）将交换机端口加入相对应的VLAN：Switch(config)#interface f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#exitSwitch(config)#interface f0/3Switch(config-if)#switchport access vlan 30Switch(config-if)#exit（3）为每个VLAN配置IP地址：Switch(config)#int vlan10Switch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip add 192.168.20.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 30Switch(config-if)#ip add 192.168.30.1 255.255.255.0Switch(config-if)#exit（4）配置三台主机：将三台主机分别插入三个VLAN的端口，并为主机配置好IP地址和默认网关地址。

扩展的IP访问控制列表顾名思义，扩展的IP访问表用于扩展报文过滤能力。

一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。

一个扩展的IP访问表的一般语法格或如下所示:下面简要介绍各个关键字的功能:1.list number----表号范围扩展IP访问表的表号标识从l00到199。

2.protocol-----协议协议项定义了需要被过滤的协议，例如IP、TCP、UDP、1CMP等等。

协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。

另外，管理员应该注意将相对重要的过滤项放在靠前的位置。

如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。

但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。

3.源端口号和目的端口号源端口号可以用几种不同的方法来指定。

它可以显式地指定，使用一个数字或者使用一个可识别的助记符。

例如，我们可以使用80或者http来指定Web的超文本传输协议。

对于TCP和UDP，读者可以使用操作符 "<"(小于)、">"(大于)"="(等于)以及""(不等于)来进行设置。

目的端口号的指定方法与源端口号的指定方法相同。

读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。

下面的实例说明了扩展IP访问表中部分关键字使用方法:access-list 101 permit tcp any host 198.78.46.8 eq smtpaccess-list 101 permit tcp any host 198.78.46.3 eq www第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。

扩展访问控制列表配置实验注意：前一讲“标准IP访问控制列表”是在路由器上对来自某一个IP源地址的数据包的允许或拒绝转发。

这一讲说的是在某一个具体层面上允许或拒绝转发数据包。

实验背景学院出口路由器R2与学校路由器R1之间通过V.35线串口连接。

学校服务器上有各种服务，比如WWW、FTP、TELNET等。

现为了网络安全，仅允许学院PC机访问学校服务器上的WWW服务，其他一概拒绝，包括ICMP协议（即不允许从PC机ping服务器）。

技术原理●访问控制列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；●扩展IP访问列表（编号为100-199）使用以上四种组合来进行转发或阻断分组；根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

●扩展IP访问列表的配置包括以下两步：●定义扩展IP访问列表●将扩展IP访问列表应用于特定接口上实验步骤1、拓扑图2、配置PC机、服务器、路由器R1和R2的接口IP地址PC机IP：172.16.1.2 子网掩码：255.255.255.0 网关：172.16.1.1R1 Fa0/0端口IP：172.168.1.1子网掩码：255.255.255.0R1 Fa1/0端口IP：172.168.2.1子网掩码：255.255.255.0R2 Fa0/0端口IP：172.168.2.2子网掩码：255.255.255.0R2 Se2/0端口IP：172.168.3.1子网掩码：255.255.255.0 时钟频率64000R3 Se2/0端口IP：172.168.3.2子网掩码：255.255.255.0R3 Fa1/0端口IP：172.16.4.2 子网掩码：255.255.255.0 网关：172.16.4.13、在路由器R1、R2、R3上配置静态路由协议，实现全网通信。

（1）、进入R1全局配置视图Router(config)#host R1 ；修改名称R1(config)#ip rout 172.16.3.0 255.255.255.0 172.16.2.2 ；到3.0网段的静态路由R1(config)#ip rout 172.16.4.0 255.255.255.0 172.16.2.2 ；到4.0网段的静态路由（2）、进入R3全局配置视图Router(config)#host R3 ；修改名称R3(config)#ip rout 172.16.1.0 255.255.255.0 172.16.3.1 ；到1.0网段的静态路由R3(config)#ip rout 172.16.2.0 255.255.255.0 172.16.3.1 ；到2.0网段的静态路由（3）、进入R2全局配置视图Router(config)#host R2 ；修改名称R2(config)#ip rout 172.16.1.0 255.255.255.0 172.16.2.1 ；到1.0网段的下一跳是2.1 R2(config)#ip rout 172.16.4.0 255.255.255.0 172.16.3.2 ；到4.0网段的下一跳是3.2 4、PC机和服务器间能相互ping通自此PC与服务器之间可以相互ping通。

《网络互联技术》课程实验指导书实验十八：扩展访问控制列表配置如果只想允许外来的WEB通信流量通过，同时又要拒绝外来的FTP和Telnet等通信流量时，就要用扩展ACL来达到目的，而标准ACL却显得无能为力。

扩展ACL既可以检查数据包的源地址，也检查数据包的目的地址。

此外，还可以检查数据包特定的协议类型、端口号等。

这种扩展后的特性给了管理员更大的灵活性，可以灵活多变地设计ACL的测试条件。

一、实验内容在路由器的E 0/0 端口的in 方向上添加扩展IP访问控制列表101，功能：●禁止在192.168.1.2 主机中ping 192.168.2.2 主机●禁止192.168.1.2 主机以telnet方式登录路由器各接口和提供telnet服务的主机二、实验目的1、了解扩展访问控制列表的作用及工作原理。

2、掌握扩展访问控制列表的具体配置过程三、网络拓朴四、实验设备1、一台思科（Cisco）3620路由器（带四个以太网接口）2、两台思科（Cisco）2950二层交换机3、四台安装有windows 98/xp/2000操作系统的主机4、一台安装有web服务、telnet服务和ftp服务的服务器5、若干交叉网线与直通网线6、思科（Cisco）专用控制端口连接电缆五、实验过程（需要将相关命令写入实验报告）1、将路由器、交换机、主机根据如上图示进行连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口IP地址Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置路由器的虚拟终端登录端口Router# configure terminalRouter(config)# line vty 0 4Router(config-line)# password 940919Router(config-line)# loginRouter(config-line)# exit5、在PC1中尝试以telnet方式登录路由器（输入路由器虚拟端口密码即可正常登录）6、设置并作用扩展访问控制列表Router# configure terminalRouter(config)# access-list 101 deny icmp host 192.168.1.2 host 192.168.2.2Router(config)# access-list 101 deny tcp host 192.168.1.2 any eq telnetRouter(config)# access-list 101 permit ip any anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 101 inRouter(config-if)# exit7、在PC1中尝试以telnet方式登录路由器（无法登录）六、思考问题1、请简单比较标准访问控制列表与扩展访问控制列表的不同？2、一般来说，标准访问控制列表的放置位置与扩展访问控制列表的放置位置有什么不同，为什么？七、实验报告要求：按学院实验报告要求完成实验报告的书写。

ip访问控制列表配置实验报告实验报告课程名称网络设备与配置实验项目 ip访问控制列表的配置专业班级指导教师姓名学号成绩日期一、实验目的掌握路由器上编号的标准IP访问列表规则及配置。

二、实验内容1、连线；2、路由器基本配置；3、路由配置；4、IP标准ACL配置；5、测试。

三、实验背景某公司组建自己的企业网，在企业网内有公司的财务处、经理部和销售部分属不同的3个网段，三个部门之间用路由器进行信息传递。

为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部进行访问。

172.16.1.0网段代表经理部主机，172.16.2.0网段代表销售部主机，172.16.4.0网段代表财务部主机。

四、技术原理IP ACL（IP访问控制列表）是实现流经路由器或交换机的数据包根据一定规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL的配置方式有两种：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

五、实现功能实现网段间互相访问的安全控制。

六、实验设备2台路由器、1台三层交换机、3台PC机，3条直连线、1条串口线；或者增加3台交换机和3条直连线。

七、实验拓扑八、实验步骤1、Rrouter0的基本配置Router# conf tRouter(config)#hostname R1 R1(config)# int f 0/1R1(config-if)# ip addr 172.16.1.1 255.255.255.0R1(config-if)# no shutdown R1(config-if)# int f 0/0 R1(config-if)# ip addr 172.16.2.1 255.255.255.0R1(config-if)# no shutdown R1(config-if)# int s 0/1/0 R1(config-if)# ip addr 172.16.3.1 255.255.255.0R1(config-if)#clock rate 64000 R1(config-if)# no shutdown 测试：R1#show ip int brief ！观察接口状态2、Rrouter1的基本配置Router(config)#hostname R2R2(config-if)# int f 0/0R2(config-if)# ip addr 172.16.4.1 255.255.255.0R2(config-if)# no shutdown R2(config-if)# int s 0/1/0 R2(config-if)# ip addr 172.16.3.2 255.255.255.0R2(config-if)# no shutdown 测试：R2#show ip int brief ！观察接口状态3、配置路由配置静态路由或动态路由都可以，这里以静态路由为例。

实验八ACL的配置实验要求：1. 1.1.1.3可以访问2.2.2.02．1.1.1.0的子网只能访问2.2.2.0的FTP服务器和INTERNET(用R2路由器的L01口模拟因特网)3．2.2.2.0的主机不能访问INTERNET实验目的：了解ACL的工作原理LO1LO2实验步骤：R1Router>enRouter#conf tRouter(config)#host R1R1 (config)#int lo1R1(config-if)#ip add 1.1.1.3 255.255.255.0R1 (config-if)#no shutR1(config-if)#exitR1 (config)# access-list 101 permit ip 1.1.1.3 0.0.0.0 2.2.2.0 0.0.0.255R1 (config)# access-list 101 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21R1 (config)# access-list 101 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255R1 (config)#int lo2R1 (config-if)#ip add 2.2.2.1 255.255.255.0R1 (config-if)#ip access-group 101 outR1 (config-if)#no shutR1 (config-if)#exitR1 (config)#access-list 1 deny 2.2.2.0 0.0.0.255R1 (config)#int s0R1 (config-if)#ip add 3.3.3.1 255.255.255.0R1 (config-if)#clock rate 56000R1 (config-if)#no shutR1 (config-if)#ip access-group 1 outR1 (config-if)#exitR1 (config)#router ripR1 (config-router)#net 1.0.0.0R1 (config-router)#net 2.0.0.0R1 (config-router)#net 3.0.0.0R1 (config-router)#exitR2Router>enRouter#conf tRouter(config)#host R2R2 (config)#int s1R2 (config-if)#ip add 3.3.3.2 255.255.255.0R2 (config-if)#clock rate 56000R2 (config-if)#no shutR2 (config-if)#exitR2 (config)#int lo1R2 (config-if)#ip add 4.4.4.1 255.255.255.0R2 (config-if)#no shutR2 (config-if)#exitR2 (config)#router ripR2 (config-router)#net 4.0.0.0R2 (config-router)#net 3.0.0.0R2 (config-router)#exit无名。

安徽机电职业技术学院实训实验报告系部信息工程系班级__ 姓名_______________ 学号___________ 日期地点______________ 指导教师_____________ 成绩实验8：访问控制列表【实验目的】1、了解访问控制列表的工作原理。

2、熟悉访问控制列表的基本配置方法和常用命令。

3、掌握基本和高级访问控制列表的配置方法。

【实验内容】1、学会基本访问控制列表的配置方法。

2、完成高级访问控制列表的配置方法。

【实验环境】1、实验软件：H3C模拟软件（H3C Cloud Lab）2、实验设备：H3C路由器2台，交换机1台，带网卡PC机2台，双绞线若干实验拓扑结构图：【实验步骤】一、基本访问控制列表的基本配置（请写出涉及到的相关命令）1、根据实验图，完成路由器、交换机和计算机的基本配置。

（记录计算机和路由器接口IP地址，配置路由，并要求计算机和交换机都能相互访问）[RT1]int g0/0/0[RT1-GigabitEthernet0/0/0]ip address 192.168.1.254 24[RT1-GigabitEthernet0/0/0]int g0/0/1[RT1-GigabitEthernet0/0/1]ip address 192.168.2.254 24[RT1-GigabitEthernet0/0/1]int g0/0/2[RT1-GigabitEthernet0/0/2]ip address 192.168.3.1 24[RT1-GigabitEthernet0/0/2]quit[RT1]ip route-static 192.168.4.0 24 192.168.3.2[RT2]int g0/0/0[RT2-GigabitEthernet0/0/0]ip ad[RT2-GigabitEthernet0/0/0]ip address 192.168.4.1 24[RT2-GigabitEthernet0/0/0]int g0/0/2[RT2-GigabitEthernet0/0/2]ip address 192.168.3.2 24[RT2]ip route-static 192.168.1.0 24 192.168.3.1[RT2]ip route-static 192.168.2.0 24 192.168.3.1[SW1]int Vlan[SW1]int Vlan-interface 1[SW1-Vlan-interface1]ip address 192.168.4.2 24[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.4.1（SW1相当于一台主机，此命令作为网关即RT2的g0/0/0口）2、在RT1上配置基本ACL，使得PC1不可以访问PC2，允许除此之外的其他通信量。

【实验拓扑】实验时，按照拓扑进行网络的连接，注意主机和路由器连接所用的端口。

【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置路由器模块右键点击路由器RouteA图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

《计算机网络工程》实验指导五：IP访问控制列表配置实验右键点击路由器RouteB图标，选中“配置”→“插槽”，进行如下图设置后，点击“OK”。

（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。

第3页/ 共13页（4）按照网络拓扑图连接设备。

步骤2.在CNS3中点击显示各端口信息，分别对其标注配置信息。

源设备源接口介质类型目标接口目标设备Route A(Route A )S0/0 Serial (Route B )S0/0 Route BRoute A f1/0 Fastethernet NIO-UDP PC1Route A f2/0 Fastethernet NIO-UDP PC3Route B f1/0 Fastethernet NIO-UDP PC2 步骤3、路由器Route A上的基本配置RouteA>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA //路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 //给接口配置IP地址RouteA (config-if) #no shutdown《计算机网络工程》实验指导五：IP访问控制列表配置实验RouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0RouteA (config-if)#clock rate 64000 //配置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 //配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。

如何扩展IP访问控制列表配置想要扩展IP访问控制列表配置，该怎么办呢，那么如何扩展IP访问控制列表配置下面是小编收集整理的如何扩展IP访问控制列表配置，希望对大家有帮助~~扩展IP访问控制列表配置的方法配置计算机PC0IP: 172.16.1.2Submask: 255.255.255.0Gateway: 172.16.1.1配置服务器Server0IP: 172.16.4.2Submask: 255.255.255.0Gateway: 172.16.4.1路由器0的配置：R0&gt;R0&gt;enR0#conf tR0(config)#int fa0/0R0(config-if)#ip address 172.16.1.1 255.255.255.0 R0(config-if)#no shutdownR0(config-if)#int fa1/0R0(config-if)#ip address 172.16.2.1 255.255.255.0 R0(config-if)#no shutdownR0(config-if)#exitR0(config)#配置路由器R1Router&gt;ENRouter#conf tRouter(config)#host R1R1(config)#int fa1/0R1(config-if)#ip address 172.16.2.2 255.255.255.0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#int s2/0R1(config-if)#ip address 172.16.3.1 255.255.255.0 R1(config-if)#no shutdownR1(config-if)#clock rate 64000R1(config-if)#配置路由器R2Router&gt;ENRouter#conf tRouter(config)#host R2R2(config)#INT S2/0R2(config-if)#IP address 172.16.3.2 255.255.255.0 R2(config-if)#no shutdownR2(config-if)#R2(config-if)#int fa0/0R2(config-if)#ip address 172.16.4.1 255.255.255.0 R2(config-if)#no shutdown配置路由器0R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2配置路由器2R2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1配置路由器1R1(config-if)#exitR1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R1(config)#endR1#R1#show ip routeS 172.16.1.0 [1/0] via 172.16.2.1C 172.16.2.0 is directly connected, FastEthernet1/0 C 172.16.3.0 is directly connected, Serial2/0S 172.16.4.0 [1/0] via 172.16.3.2R1#测试连通性PC0ping 172.16.4.2(success)Web浏览器：http://172.16.4.2(success)如何扩展IP访问控制列表配置相关文章：1.路由器IP访问列表怎么设置2.华为acl访问控制列表实例3.Linux如何利用访问控制列表来限制用户权限4.为什么使用访问控制列表5.思科IP-MAC地址绑定怎么配置6.华为防火墙acl与思科访问控制列表有什么区别。

IP访问控制列表配置一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB：R >enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4RouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface fastethernet 0/1 注释：fa 1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255验证测试RouterB #show access-list 1第3步：应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 注释：fa 0 RouterB (config-if)#ip access-group 1 out验证测试RouterB #show ip interface fastethernet 0/0 注释：fa 0第4步：验证测试在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

扩展IP访问控制列表配置技术原理：访问列表中定义的典型规则主要有以下：源地址，目标地址，上层协议，时间区域：扩展IP访问列表（编号为100-199,2000-2699）使用四种以上组合来进行转发或者阻断分组：可以根据数数据包的源IP地址，目的IP地址，源端口，目的端口，协议来定义规则，进行数据包的过滤。

扩展IP访问列表的配置包括以下2步：定义扩展IP访问列表将扩展IP访问列表应用于特定接口上。

实验步骤：新建拓扑图（打开老师的实验拓扑图）：1：分公司出口路由器与外部路由器之间通过v.35电缆串口连接，DCE端连接在R2上，配置其时钟频率64000：主机与路由器通过交叉线连接。

2：配置pc机，服务器及路由器接口IP地址。

3：在各路由器上配置静态路由协议，让pc机能相互ping 通，因为只有在相互通的前提下才能涉及访问控制列表。

4：在R2上配置编号的IP扩展访问控制列表。

5：将扩展IP访问列表应用到接口。

6：验证主机之间的互通性。

Pc0:172.16.1.2255.255.255.0172.16.1.2Server0:172.16.4.2255.255.255.0172.16.4.1在路由器0上进行配置Router>enableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R0R0(config)#interface fa0/0R0(config-if)#ip address 172.16.1.1 255.255.255.0R0(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR0(config-if)#exitR0(config)#interface fa1/0R0(config-if)#ip address 172.16.2.1 255.255.255.0R0(config-if)#no shutdownR0(config-if)#%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to upR0(config-if)#exitR0(config)#在路由器R1上配置Router>enableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1R1(config)#interface fa1/0R1(config-if)#ip 172.16.2.2 255.255.255.0^% Invalid input detected at '^' marker.R1(config-if)#ip address 172.16.2.2 255.255.255.0R1(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up R1(config-if)#exitR1(config)#interface s2/0R1(config-if)#ip address 172.16.3.1 255.255.255.0R1(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial2/0, changed state to downR1(config-if)#clock rate 64000R1(config-if)#在路由器2上：Router>enableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2R2(config)#interface s2/0R2(config-if)#ip address 172.16.3.2 255.255.255.0R2(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial2/0, changed state to upR2(config-if)#exit%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to upR2(config)#interface fa0/0R2(config-if)#ip address 172.16.4.1 255.255.255.0R2(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R2(config-if)#第二步：配置静态路由，实现全网通信。

实验八IP访问控制列表的配置一、实验目的1.掌握标准ACL的配置方法2.掌握扩展ACL的配置方法二、实验内容1.标准ACL的配置2.扩展ACL的配置三、实验拓扑图四、实验步骤1、基础工作(配置各个路由器接口的IP地址)R1路由器Router>enableRouter#configure terminalRouter(config)#hostname r1r1(config)#interface fastEthernet 0/0r1(config-if)#ip address 10.1.1.1 255.255.255.0r1(config-if)#no shutdownr2(config)#interface serial 2/0r2(config-if)#ip address 20.1.1.1 255.255.255.0r2(config-if)#clock rate 64000r2(config-if)#no shutdown在r1上设置enable口令和vty口令，用于telnet测试r1(config)#enable secret cisco1r1(config)#line vty 0 4r1(config-line)#password cisco2r1(config-line)#loginr1(config-line)#endR2路由器Router#configure terminalRouter(config)#hostname r2r2(config)#interface serial 2/0r2(config-if)#ip address 20.1.1.2 255.255.255.0r2(config-if)#no shutdownr2(config)#interface fastEthernet 0/0r2(config-if)#ip address 30.1.1.1 255.255.255.0r2(config-if)#no shutdownr2(config)#interface fastEthernet 1/0r2(config-if)#ip address 40.1.1.1 255.255.255.0r2(config-if)#no shutdown二、配置OSPF路由协议r1(config)#router ospf 1r1(config-router)#network 10.1.1.0 0.0.0.255 area 0r1(config-router)#network 20.1.1.0 0.0.0.255 area 0r2(config)#router ospf 1r2(config-router)#network 20.1.1.0 0.0.0.255 area 0r2(config-router)#network 30.1.1.0 0.0.0.255 area 0r2(config-router)#network 40.1.1.0 0.0.0.255 area 0三、测试连通性查看r1和r2的路由表，测试PC机之间的连通性，截图。