《网络实验报告五ACL》由会员分享,可在线阅读,更多相关《网络实验报告五ACL(14页珍藏版)》请在金锄头文库上搜索。
1、 南昌大学实验报告五学生姓名: 李盼辉 学 号:6100410053 专业班级: 计科101班 实验类型: 验证 综合 设计 创新 实验日期:2013.5.21 实验成绩: 2.11 实验11:访问控制列表ACL配置实验1、实验目的对路由器的访问控制列表ACL进行配置。2、实验设备路由器2台,PC机台,串行线1对,交叉双绞线根;3、实验要求(1)实验任务用串行线通过Serial 口将2台路由器直接连接起来后,给每台PC机所连FastEthernet口分配一个IP地址,对路由器作配置后,查验访问控制表内容,并通过1台PC机PING另1台PC机进行验证。(2)实验预习熟悉IP地址、MAC地址和常用
2、端口号码的含义。(3)实验报告简要叙述组成访问控制列表ACL形成的主要方法。简单叙述如何对常见病毒端口进行防护以提高网络安全性。 实验中遇到了什么问题,如何解决的,以及本人的收获与体会。4、实验原理(1)网络拓扑图(2)配置命令说明(config)#ip access-list standard name/*创建标准ACL(config-std-nacl)#deny|permit source-ip-add wildcard|host source-ip-add|anytime-range time-range-name/*拒绝|允许源IP地址(config)#ip access-list e
3、xtended name/*创建扩展ACL(config-ext-nacl)#deny|permit protocol source-ip-add wildcard|host source-ip-add |any destination destination-ip-add wildcard|host destination-ip-add |any eq tcp|udp port-number time-range time-range-name/*拒绝|允许源IP地址、目的IP地址、端口(config)#mac access-list extended name/*创建MAC扩展ACL(co
4、nfig-ext-macl)#deny|permit any|host source-mac-address any|host destination-mac-address time-range time-range-name/*拒绝|允许源MAC地址、目的MAC地址(config-if)#ip access-group name in/*关联ACL到接口(config)#time-range name/*创建时间段5、实验步骤(1)搭建实验环境,使三个网段(192.168.1.0 /192.168.1.0 /192.168.1.0) 内主机能够互相连通R2801-Aena#conf t(c
5、onfig)int s0/2/0(config-if)ip address 10.1.1.1 255.255.255.0(config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.1.1 255.255.255.0(config-if)no shutdown(config-if)router rip(config-if)version 2(config-if)net 10.1.1.0(config-if)net 192.168.1.0(config-if)end#2801CB/*切换到设备R2801-B上ena#
6、conf t(config)int s0/2/0(config-if)ip address 10.1.1.2 255.255.255.0(config-if)no shutdown(config-if)int f0/0(config-if)ip address 192.168.2.1 255.255.255.0(config-if)no shutdown(config-if)int f0/1(config-if)ip address 192.168.3.1 255.255.255.0(config-if)no shutdown(config-if)router rip(config-if)ve
7、rsion 2(config-if)net 10.1.1.0(config-if)net 192.168.2.0(config-if)net 192.168.3.0(config-if)end#show run-config /*运行结果见下图#show ip route /* 查看路由表,确保当前路由信息已在路由之间被正常学习PC1上:将“网络连接”属性中的IP指定为:192.168.1.2;网关为:192.168.1.1。见下图。同理:PC2上:将“网络连接”属性中的IP指定为:192.168.2.2;网关为:192.168.2.1PC3上:将“网络连接”属性中的IP指定为:192.168
8、.3.2;网关为:192.168.3.1注:此时上如有其他网关,请全部暂时取消!用Ping命令验证:当前在没有设置访问控制列表前所有的访问都是正常联通的。即PC1、PC2和 PC3之间可以互相ping通,比如:在PC1上运行ping 192.168.2.2,结果见下图:在PC3上运行ping 192.168.1.2,结果见下图:在PC2上的验证略。(2)配置标准访问控制列表意图:在完成以上配置,确认网络各网段内主机是连通的情况下,设置标号为“15”的标准访问控制列表,禁止来自192.168.2.0网段的主机访问192.168.1.0网段内的主机。输入的命令如下:R2801-A(config-i
9、f)Access-list 15 deny 192.168.2.0 0.0.0.255R2801-A(config-if)Access-list 15 permit anyR2801-A(config-if)interface s0/2/0R2801-A(config-if)ip access-group 15 in上面输入的命令如下图:查看访问控制列表的情况可以运行命令:show access-list,见下图:#show access-list验证结果:根据该访问控制列表的设置,192.168.1.0和192.168.2.0之间是无法ping通的,作为对比,192.168.1.0和192.
10、168.0之间的主机却是可以ping通的!见如下结果。下图是在PC1主机(192.168.1.2)上运行“ping 192.168.2.2”的结果。显然应该不通!下图是在PC1主机(192.168.1.2)上运行“ping 192.168.3.2”的结果。显然应该通!将上述结果与前面的情况对比,显然是由于本访问控制列表造成PC1和PC2之间不通!(3) 扩展访问控制列表上面的实验还可以用扩展访问控制列表来实现,只需要把前面的“15”号标准访问列表取消,产生下面的“105”号扩展访问列表即可。在R2801-A上: (config)no access-list 15(config)end#show
11、 access-list /* 验证标准访问列表“15”已被取消#conf t(config)#ip access-list extended 105(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2 /* 禁止来自192.168.2.0网段的主机访问192.168.1.2主机(config-ext-nacl)#permit ip any any(config-ext-nacl)#int s0/2/0(config-if)#ip access-group 105 in(config-if)#end#show access-list#用扩展访问控制列表来实现的“105”访问控制的验证方法同前,故略。六实验结果
