天津科技大学系统集成实验-acl项目

ACL访问控制列表实验

一、实验目的

1.掌握访问控制列表的使用原理，使用环境；

2.掌握基本访问控制列表使用规则；

3.掌握扩展访问控制列表使用应该注意点；

二、实验要求

项目需求：

使用lito完成此实验，要求网络中有两个业务流，其中pc1访问pc2的数据流使用基本访问控制列表，pc2访问pc1的数据流使用扩展的访问控制列表做控制，达到最终目的是pc1不能访问pc2（要求两个方向都要做）；

三、实验内容及步骤

1 网络拓扑（例如下图所示）

2 方法和步骤

2.1 ip地址基本配置：

[RT1]int g0/0/1

[RT1-GigabitEthernet0/0/1]ip add 192.168.1.1 24

[RT1]int g0/0/0

[RT1-GigabitEthernet0/0/0]ip add 10.0.12.1 24

[RT2]int g0/0/0

[RT2-GigabitEthernet0/0/0]ip add 10.0.12.2 24 [RT2]int g0/0/1

[RT2-GigabitEthernet0/0/1]ip add 10.0.23.1 24

[RT3]int g0/0/1

[RT3-GigabitEthernet0/0/1]ip add 10.0.23.2 24 [RT3]int g0/0/0

[RT3-GigabitEthernet0/0/0]ip add 172.16.1.1 24

2.2 配置OSPF协议：

[RT1]ospf 1 router-id 1.1.1.1

[RT1-ospf-1]area 0

[RT1-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255 [RT1-ospf-1-area-0.0.0.0]net 10.0.12.0 0.0.0.255

[RT2]ospf 1 router-id 2.2.2.2

[RT2-ospf-1]area 0

[RT2-ospf-1-area-0.0.0.0]net 10.0.12.0 0.0.0.255 [RT2-ospf-1-area-0.0.0.0]net 10.0.23.0 0.0.0.255

[RT3]ospf 1 router-id 3.3.3.3

[RT3-ospf-1]area 0

[RT3-ospf-1-area-0.0.0.0]net 10.0.23.0 0.0.0.255 [RT3-ospf-1-area-0.0.0.0]net 172.16.1.0 0.0.0.255 测试：没有配置ACL之前，PC1能ping通PC2。

配置ACL让PC1和PC2不能相互ping通。

基本ACL：

[RT3]firewall enable

[RT3]firewall default permit

[RT3]acl number 2000

[RT3-acl-basic-2000]rule 0 deny source 192.168.1.0 0.0.0.255

[RT3]int g0/0/0

[RT3-GigabitEthernet0/0/0]firewall packet-filter 2000 outbound

高级ACL：

[RT3]firewall enable

[RT3]firewall default permit

[RT3]acl number 3000

[RT3-acl-adv-3000]rule 0 deny icmp source 172.16.1.2 0.0.0.0 destination 192.168.1.2 0.0.0.0

[RT3]int g 0/0/0

[RT3-GigabitEthernet0/0/0]firewall packet-filter 3000 inbound

分别使用两台pc相互访问，结果：

客户端1截图：

客户端2截图：

在你使用访问控制列表的设备上使用display acl all来查看acl的匹配情况；路由器截图：

3 遗留问题及实验过程疑问

四、简答：

1.基本访问控制列表使用什么作为书写规则的条目：

1.制定要匹配的源IP地址范围

2.指定动作是permit或deny

2.扩展访问控制列表使用什么作为书写规则的条目：

1.需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、

协议端口号等信息

2.指定动作是permit或deny

3.在基本访问控制列表和扩展访问控制列表使用时距离源和目的的问题用你自己的语言做简单总结：

因为基本ACL匹配的是源地址IP范围，所以基本ACL应用在靠近目的的方向，如果不是应用在离目标最近的方向，该源IP发往其他网络的数据包也会被丢弃。

高级ACL匹配的是源IP和目标IP，所以应用在靠近源IP方向，因为数据包在发出去的时候不会占用网络带宽，在刚发出去就被丢弃了，并不会快到目的地才丢弃数据包。

五、实验心得及体会