网络实验报告五ACL

南昌大学实验报告五学生姓名： 李盼辉 学 号：6100410053 专业班级： 计科101班 实验类型： 验证 综合 设计 创新 实验日期:2013.5.21 实验成绩： 2.11 实验11：访问控制列表ACL配置实验1、实验目的对路由器的访问控制列表ACL进行配置。2、实验设备路由器2台，PC机台，串行线1对，交叉双绞线根；3、实验要求（1）实验任务用串行线通过Serial 口将2台路由器直接连接起来后，给每台PC机所连FastEthernet口分配一个IP地址，对路由器作配置后，查验访问控制表内容，并通过1台PC机PING另1台PC机进行验证。（2）实验预习熟悉IP地址、MAC地址和常用端口号码的含义。（3）实验报告简要叙述组成访问控制列表ACL形成的主要方法。简单叙述如何对常见病毒端口进行防护以提高网络安全性。 实验中遇到了什么问题，如何解决的，以及本人的收获与体会。4、实验原理（1）网络拓扑图（2）配置命令说明(config)#ip access-list standard name/*创建标准ACL(config-std-nacl)#deny|permit source-ip-add wildcard|host source-ip-add|anytime-range time-range-name/*拒绝|允许源IP地址(config)#ip access-list extended name/*创建扩展ACL(config-ext-nacl)#deny|permit protocol source-ip-add wildcard|host source-ip-add |any destination destination-ip-add wildcard|host destination-ip-add |any eq tcp|udp port-number time-range time-range-name/*拒绝|允许源IP地址、目的IP地址、端口(config)#mac access-list extended name/*创建MAC扩展ACL(config-ext-macl)#deny|permit any|host source-mac-address any|host destination-mac-address time-range time-range-name/*拒绝|允许源MAC地址、目的MAC地址(config-if)#ip access-group name in/*关联ACL到接口(config)#time-range name/*创建时间段5、实验步骤（1）搭建实验环境，使三个网段（192.168.1.0 /192.168.1.0 /192.168.1.0） 内主机能够互相连通R2801-A>ena#conf t(config)int s0/2/0(config-if)ip address 10.1.1.1 255.255.255.0(config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.1.1 255.255.255.0(config-if)no shutdown(config-if)router rip(config-if)version 2(config-if)net 10.1.1.0(config-if)net 192.168.1.0(config-if)end#2801CB/*切换到设备R2801-B上>ena#conf t(config)int s0/2/0(config-if)ip address 10.1.1.2 255.255.255.0(config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.2.1 255.255.255.0(config-if)no shutdown(config-if)int f0/1(config-if)ip address 192.168.3.1 255.255.255.0(config-if)no shutdown(config-if)router rip(config-if)version 2(config-if)net 10.1.1.0(config-if)net 192.168.2.0(config-if)net 192.168.3.0(config-if)end#show run-config /*运行结果见下图#show ip route /* 查看路由表，确保当前路由信息已在路由之间被正常学习PC1上：将“网络连接”属性中的IP指定为：192.168.1.2；网关为：192.168.1.1。见下图。同理：PC2上：将“网络连接”属性中的IP指定为：192.168.2.2；网关为：192.168.2.1PC3上：将“网络连接”属性中的IP指定为：192.168.3.2；网关为：192.168.3.1注：此时上如有其他网关，请全部暂时取消！用Ping命令验证：当前在没有设置访问控制列表前所有的访问都是正常联通的。即PC1、PC2和 PC3之间可以互相ping通，比如：在PC1上运行ping 192.168.2.2，结果见下图：在PC3上运行ping 192.168.1.2，结果见下图：在PC2上的验证略。(2)配置标准访问控制列表意图：在完成以上配置，确认网络各网段内主机是连通的情况下，设置标号为“15”的标准访问控制列表，禁止来自192.168.2.0网段的主机访问192.168.1.0网段内的主机。输入的命令如下：R2801-A(config-if)Access-list 15 deny 192.168.2.0 0.0.0.255R2801-A(config-if)Access-list 15 permit anyR2801-A(config-if)interface s0/2/0R2801-A(config-if)ip access-group 15 in上面输入的命令如下图：查看访问控制列表的情况可以运行命令：show access-list，见下图：#show access-list验证结果：根据该访问控制列表的设置，192.168.1.0和192.168.2.0之间是无法ping通的，作为对比，192.168.1.0和192.168.0之间的主机却是可以ping通的！见如下结果。下图是在PC1主机（192.168.1.2）上运行“ping 192.168.2.2”的结果。显然应该不通！下图是在PC1主机（192.168.1.2）上运行“ping 192.168.3.2”的结果。显然应该通！将上述结果与前面的情况对比，显然是由于本访问控制列表造成PC1和PC2之间不通！(3) 扩展访问控制列表上面的实验还可以用扩展访问控制列表来实现，只需要把前面的“15”号标准访问列表取消，产生下面的“105”号扩展访问列表即可。在R2801-A上： (config)no access-list 15(config)end#show access-list /* 验证标准访问列表“15”已被取消#conf t(config)#ip access-list extended 105(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2 /* 禁止来自192.168.2.0网段的主机访问192.168.1.2主机(config-ext-nacl)#permit ip any any(config-ext-nacl)#int s0/2/0(config-if)#ip access-group 105 in(config-if)#end#show access-list#用扩展访问控制列表来实现的“105”访问控制的验证方法同前，故略。六实验结果