acl配置实验
ACL配置实验
一、实验目的:
深入理解包过滤防火墙的工作原理
二、实验容:
练习使用Packet Tracer模拟软件配置ACL
三、实验要求
A.拓扑结构如下图所示,1,2,3是主机,4是服务器
1、配置主机,服务器与路由器的IP地址,使网络联通;
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;
B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)
1、配置ACL 限制远程登录(telnet)到路由器的主机。
路由器R0只允许192.168.2.2 远程登录(telnet)。
2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。
3、配置ACL 禁止特点的协议端口通讯。
禁止192.168.2.2 使用www (80)端口访问192.168.1.0
禁止192.168.2.3 使用dns (53)端口访问192.168.1.0
3、验证ACL 规则,检验并查看ACL。
四、实验步骤
1、配置主机,服务器与路由器的IP地址,使网络联通;
PC0 ping PC2
PC1 ping 服务器
服务器ping PC0
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2
Router(config)#access-list 1 permit any
Router(config)#int f 0/1
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
pc1 ping pc2和服务器
pc0 ping pc2和服务器,可以ping通
删除该条ACL
Router>en
Router#show access-list
Standard IP access list 1
deny host 192.168.1.2 (8 match(es))
permit any (8 match(es))
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list standard soft
Router(config-std-nacl)#no access-list 1
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show access-list
Standard IP access list soft
PC1重新ping PC2和服务器,可以ping通
3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;
更改前
更改acl
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 101 deny tcp 192.168.1.2 255.255.255.0 192.168.2.2 255.255.255.0 eq 80
Router(config)#access-list 101 permit ip any any
Router(config)#int f 0/1
Router(config-if)#ip access-group 101 out
Pc1不能访问服务器的www服务pc0 可以
Pc1 可以ping 通服务器删除ACL
Router#show access-list
Standard IP access list soft
Extended IP access list 101
deny tcp 0.0.0.2 255.255.255.0 0.0.0.2 255.255.255.0 eq (65 match(es))
permit ip any any (9 match(es))
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list extended 101
Router(config-ext-nacl)#no access-list 101
Router(config)#exit
Pc1又可以成功访问服务器的www服务。实验B
DNS服务器配置
实验B
基础配置
各个主机ping 通服务器192.168.1.2
;
1、配置ACL 限制远程登录(telnet)到路由器的主机。
路由器R0只允许192.168.2.2 远程登录(telnet)。
gaozhuang-R0>en
Password:
gaozhuang-R0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
gaozhuang-R0(config)#access-list 1 permit host 192.168.2.2
gaozhuang-R0(config)#line vty 0 4
gaozhuang-R0(config-line)#access-class 1 in
gaozhuang-R0(config-line)#
标准ACL配置与调试
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
ACL配置实验报告
南京信息工程大学实验(实习)报告 实验(实习)名称ACL的配置实验(实习)日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 (1)了解路由器的ACL配置与使用过程,会运用标准、扩展ACL建立基于路由器的防火墙,保护网络边界。 (2)了解路由器的NA T配置与使用过程,会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 (1)实验资源、工具和准备工作。Catalyst2620路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 (2)实验内容。设置图8.39中各台路由器名称、IP地址、路由协议(可自选),保存配置文件;设置WWW服务器的IP地址;设置客户机的IP地址;分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制,进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议(可自选),保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制,进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。
计算机网络实验报告(7)访问控制列表ACL配置实验
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
访问控制列表ACL配置-实验报告
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
acl配置实验
ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)
1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;
PC0 ping PC2
PC1 ping 服务器 服务器ping PC0
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2 Router(config)#access-list 1 permit any Router(config)#int f 0/1 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit pc1 ping pc2和服务器
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
标准ACL实验
标准ACL实验: 要求:配置标准ACL禁止PC3、PC4、PC5、PC6访问PC1和PC2。 1.绘制拓扑结构图 2.配置路由器R0的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R0 R0(config)#interface FastEthernet0/0 R0(config-if)#ip address 192.168.10.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface FastEthernet1/0 R0(config-if)#ip address 192.168.20.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface Serial2/0 R0(config-if)#ip address 172.16.1.1 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown
R0(config-if)#exit R0(config)#interface Serial3/0 R0(config-if)#ip address 172.16.2.2 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#router rip R0(config-router)#network 192.168.10.0 R0(config-router)#network 192.168.20.0 R0(config-router)#network 172.16.0.0 R0(config-router)#exit R0(config)# 3.配置路由器R1的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R1 R1(config)#interface FastEthernet0/0 R1(config-if)#ip address 192.168.30.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface FastEthernet1/0 R1(config-if)#ip address 192.168.40.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface Serial2/0 R1(config-if)#ip address 172.16.1.2 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#router rip R1(config-router)#network 192.168.30.0 R1(config-router)#network 192.168.40.0 R1(config-router)#network 172.16.0.0 R1(config-router)#exit R1(config)#
ACL概念与配置实例
ACL概念与配置实例 05-31 by LinuxA 防火墙必须能够提供控制网络数据流的能力,以用于安全性、qos需求和各种策略制定等各个方面。实现数据流控制的手段之一是使用acl(access control list,访问控制列表)。 acl是由permit或deny语句组成的一系列有顺序的规则,这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。 反掩码和子网掩码相似,但写法不同 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用,可以描述一个地址范围 反掩码(11111110)表示所有的偶数,(11111100)表示所有的4的倍数。于此类推。 通配符any可代替0.0.0.0 255.255.255.255 host表示与整个IP主机地址的所有位相匹配 标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包 标准IP访问控制列表的访问控制列表号从1到99 标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝 标准访问控制列表一般用在目标地址的入口 扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过虑来提供更高程度的控制 扩展访问控制列表行中的每个条件都必须匹配,才认为该行被匹配,才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 使用的数字号在100到199之间 扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝扩展访问控制列表一般用在源地址的出口。 标准的:access-list 1-99 deny/permit 源IP地址 扩展的:access-list 100-199 deny/permit ip/tcp/udp/icmp源IP/网段源端口eq/neq/gt/ct 目的IP/网段目的端口eq/neq/gt/ct 然后在接口下 ip access-group ACL号 out/in
基于时间的ACL配置实验
【网络拓扑结构图】 【实验步骤】 1、配置设备接口模块 2、连接设备 设备连接说明 3、配置设备内部参数 3.1 RouterA路由器参数配置 <配置命令> Route> Route>en Route#confi Enter configuration commands, one per line. End with CNTL/Z. Route(config)#int e 0/0 Route(config-if)#ip address 172.16.1.2 255.255.255.0 Route(config-if)#no shut Route(config-if)# changed state to up Route(config-if)#exi
Route(config)#int e 0/1 Route(config-if)#ip address 160.16.1.2 255.255.255.0 Route(config-if)#no shut Route(config-if)# Route(config-if)#end <输出配置结果> Route#show ip int bri Interface IP-Address OK? Method Status Protocol Ethernet0/0 172.16.1.2 YES NVRAM up up Ethernet0/1 160.16.1.2 YES NVRAM up up Ethernet0/2 unassigned YES NVRAM administratively down down Ethernet0/3 unassigned YES NVRAM administratively down down 3.2配置路由器时钟 Route#show clock *00:09:26.819 UTC Fri Mar 1 2002 Route#clock set 16:03:40 27 april 2006 Route# *Apr 27 16:03:40.000: %SYS-6-CLOCKUPDATE: System clock has been updated from 00:10:05 UTC Fri Mar 1 2002 to 16:03:40 UTC Thu Apr 27 2006, configured from console by console. Route#show clock 16:03:47.975 UTC Thu Apr 27 2006 3.3定义时间段 Route# Route#confi Enter configuration commands, one per line. End with CNTL/Z. Route(config)#time-range ganfeikun Route(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2010 Route(config-time-range)#periodic daily 0:00 to 9:00 Route(config-time-range)#periodic daily 17:00 to 23:59 Route(config-time-range)#end <输出时间段配置> Route# Apr 27 16:06:31.967: %SYS-5-CONFIG_I: Configured from console by console Route#show time-range time-range entry: ganfeikun (inactive) absolute start 08:00 01 January 2006 end 18:00 30 December 2010 periodic daily 0:00 to 9:00 periodic daily 17:00 to 23:59 3.4定义访问控制列表规则 Route#confi Enter configuration commands, one per line. End with CNTL/Z. Route(config)#access-list 100 permit ip any host 160.16.1.1 Route(config)#access-list 100 permit ip any any time-range freetime Route(config)#end
实验11 (ACL)访问控制列表及配置
实验报告 实验名称实验11访问控制列表及配置 实验拓扑图如下所示: PC1PC2 F0/0F0/0 10.1.1.2172.16.1.22960 192.168.100.2192.168.100.1 一、对设备连线并进行子网规划和基本配置 (1)R2: R2(config)#no ip domain lookup R2(config)#line console 0 R2(config-line)#logging synchronous R2(config-line)#exec-timeout 0 0 R2(config)#int s0/0/1 R2(config-if)#ip add 192.168.100.1 255.255.255.0 R2(config-if)#no shut R2(config-if)#int f0/0 R2(config-if)#ip add 10.1.1.1 255.0.0.0 R2(config-if)#no shut 配置RIP 协议 R2(config)#router rip R2(config-router)#network 192.168.100.0 R2(config-router)#network 10.0.0.0
(2)R3: R3(config)#int s0/2/1 R3(config-if)#ip add 192.168.100.2 255.255.255.0 R3(config-if)#no shut R3(config-if)#exit R3(config)#int f0/0 R3(config-if)#ip add 172.16.1.1 255.255.0.0 R3(config-if)#no shut 配置RIP协议 R2(config)#router rip R2(config-router)#network 192.168.100.0 R2(config-router)#network 10.0.0.0 PC1 ping PC2 R2#ping 172.16.1.2 Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 PC2 ping PC1 R3#ping 10.1.1.2 Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 ms 二、根据拓扑图,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。 (1)在R3 上配置标准ACL R3(config)#access-list 2 deny 10.0.0.0 0.255.255.255 R3(config)#access-list 2 permit any R3(config)#int f0/0 R3(config-if)#ip access-group 2 out PC1所在网络不能访问PC2所在网络(不可达) C:\Documents and Settings\Administrator>ping 172.16.1.2 Pinging 172.16.1.2 with 32 bytes of data: Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Reply from 192.168.100.2: Destination net unreachable. Ping statistics for 172.16.1.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms PC2 所在网络不能访问PC1 所在网络(超时)
访问控制列表(ACL)配置实验报告
实验四访问控制列表(ACL)配置 1、实验目的: (1)掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。 (2)思科交换机的基本ACL配置 2、实验环境: 利用Boson Network Designer软件绘制两台交换机(Cisco Catalyst1912 型)、一台路由器(Cisco2621型)以及三台PC进行互连。通过Boson Netsim软件加载绘制好的网络拓扑图,从而进行路由器、交换机以及PC的相关配置,网络拓扑图如图2-1所示。 3、实验内容:(1)使用Boson Network Designer软件绘制路由器互连的网络拓扑图。 (2)运行Boson Netsim软件,加载网络拓扑图后,分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置(交 换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口 令、各端口的参数)。 (3)在路由器上定义一个扩展访问控制列表,抑制某台PC的ICMP数据流通往其它任意的一条网段。将该列表应用于路由器的相应端口。然后, 进行相应的Ping测试。 (4)在路由器撤消之前配置的扩展访问控制列表,然后定义一个标准访问控制列表,抑制某条网段的PC机访问另一条网段的PC机。将该列表 应用于路由器的相应端口,最后进行相应的Ping测试。 2.3 实验步骤 (1)运行Boson Network Designer软件,按照图2-1所示绘制配置拓扑图,保存在相应的目录下。 (2)运行Boson Netsim软件,加载绘制好的网络拓扑图,然后切换到PC机设置界面,使用winipcfg命令,配置PC1的IP地址为192.168.1.3 ,子网掩码为: 255.255.255.0,网关为:192.168.1.1,如下图2-2所示:
计算机网络实验报告访问控制列表ACL配置实验
计算机网络实验报告访问控制列表A C L配置 实验 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL进行配置。 三、实验设备 PC 3台;Router-PT 3台;交叉线;DCE串口线;Server-PT 1台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer拓扑图 (1)路由器之间通过电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP地址。 (3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1上编号的IP标准访问控制。 (5)将标准IP访问控制应用到接口上。
(6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer拓扑图 (1)分公司出口路由器与外路由器之间通过电缆串口连接,DCE端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC机、服务器及路由器接口IP地址。 (3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2上配置编号的IP扩展访问控制列表。 (5)将扩展IP访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1: PC2:
ACL的配置实验报告
ACL的配置实验报告 实验目的和要求: 目的: 1:掌握路由器的ACL基本命令提高路由器的安全性。 2:了解ACL的其他功能,为以后技术的应用做好基础。 要求: 1:会使用标准ACL,扩展ACL和命名ACL。 2:能够观察数据的被拦截的信息,分析ACL日志。 网络拓扑与分析设计: 实验内容: 1、标准ACL的配置。 2、扩展ACL的配置。 3、命名标准ACL和命名扩展ACL的配置。 注意:网络拓扑可以采用课后作业的网络拓扑图,可以做改动。 实验步骤与调试过程: 1.打开Cisco Packet tracer,拖入三个PC,一个交换机,两个路由器,建立完整的网络拓扑; 2.设置PC的IP,分别为(IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1),(IP Address 192.168.0.3 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1),(IP Address 192.168.1.4 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1)路由器0的端口FastEthernet0/0 192.168.1.2 打开ON,S0/1/0为12.0.0.1时钟频率设为9600.打开ON。路由器4的S0/1/0为12.0.0.2.打开ON; 3.在路由器0上配置标准ACL。进入全局配置模式,输入access-list 1 permit host 192.168.1.3,允许192.168.1.3的主机访问; 4.在路由器0的全局配置模式下输入access-list 1 dent any 禁止其他主机、 5.在路由0器的全局配置模式下输入interface f0/1,进入接口配置模式 6.在路由器0的接口配置模式下输入ip access-group 1 in 设置在接口f0/1的入站方向按1号访问控制列表对数据包惊醒过滤。end结束配置; 7.在全局模式下输入"access-list 标号(100-199)permit 协议host 指定网络IP地址host 目的IP地址"……最后以语句"access-list 编号deny ip any any"结束语句; 2.与标准一样用同样的语句将其用在该路由器某一端口上; 四.命名防空语句 8.命名标准防空语句的配置,在全局模式下输入"ip access-list standard 语句名"、"permit host 指定IP网段"和"deny any"语句结束; 9.将其运用于端口上; 10.命名扩展列表的配置与命名标准的不同的是"ip access-list etended 语句名"、"permit tcp host 指定IP地址host 目的IP"和"deny ip any any"结束语句,同样运用于接口上。
访问控制列表ACL配置-实验报告
【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】: 步骤1:搭建拓扑结构,进行配置
(1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
计算机网络ACL配置实验报告
信息(软件)学院 《计算机网络》综合性、设计性实验成绩单 开设时间:2015学年第二学期
目录 一、实验目的 (3) 二、实验要求 (3) 三、实验原理分析 (3) 四、流程图 (5) 五、配置过程 (5) 1、配置信息........................................................................................... 错误!未定义书签。 2、配置路由器R1、R2、R3 ................................................................ 错误!未定义书签。 (1)配置路由器R1 ..................................................................... 错误!未定义书签。 (2)配置路由器R2 ..................................................................... 错误!未定义书签。 (3)配置路由器R3 ..................................................................... 错误!未定义书签。 3、配置主机PC0、PC1 ........................................................................ 错误!未定义书签。 (1)配置PC0的信息.................................................................. 错误!未定义书签。 (2)配置PC1的信息.................................................................. 错误!未定义书签。 4、配置路由器R2(R1)到路由器R1(R2)的静态路由......................... 错误!未定义书签。 (1) 路由器R2到R1的静态路由................................................. 错误!未定义书签。 (2)路由器R1到R2的静态路由................................................... 错误!未定义书签。 5、配置路由器R2(R3)到路由器R3(R2)的静态路由......................... 错误!未定义书签。 (1) 路由器R2到R3的静态路由................................................. 错误!未定义书签。 (2) 路由器R3到R2的静态路由................................................. 错误!未定义书签。 六、测试与分析 (12) 1、配置静态路由前............................................................................... 错误!未定义书签。 2、配置好静态路由后........................................................................... 错误!未定义书签。 3、结论................................................................................................... 错误!未定义书签。 七、体会 (14)
交换机 ACL原理及配置详解
Cisco ACL原理及配置详解 作者: 佚名, 出处:中国IT实验室,责任编辑: 白志飞, 2010-04-22 09:49 标准访问控制列表实例二 配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而 172.16.4.0/24中的其他计算机可以正常访问。 路由器配置命令: access-list 1 deny host 172.16.4.13 设置ACL,禁止172.16.4.13的数据包通过 access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯 int e 1 进入E1端口 ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。 配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。 总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表: 上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。 扩展访问控制列表的格式 刚刚我们提到了标准访问控制列表,他是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL 号为100到199。 扩展访问控制列表的格式: 扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下: access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。 小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。 扩展访问控制列表实例
相关文档
- 计算机网络实验报告(7)访问控制列表ACL配置实验
- 计算机网络实验报告(7)访问控制列表ACL配置实验
- ACL概念与配置实例
- 实验六 ACL配置实验
- 计算机网络ACL配置实验报告
- 标准ACL配置与调试
- ACL配置实验报告
- ACL访问控制列表配置实现
- 计算机网络实验报告(7)访问控制列表ACL配置实验
- 访问控制列表ACL配置-实验报告
- 交换机 ACL原理及配置详解
- ACL配置实验报告
- 基于时间的ACL配置实验(简单实验版)
- 标准ACL实验
- 实验11 (ACL)访问控制列表及配置
- 访问控制列表ACL配置-实验报告
- 访问控制列表ACL配置-实验报告
- acl配置实验
- 实验8 防火墙访问控制列表ACL配置实验
- 访问控制列表ACL配置-实验报告