实验四ACL实验含详解

实验四ACL 、NAT

注：实验报告分别有标准ACL、拓展ACL、静态NAT、动态NAT、PAT 配置五部分。

【实验任务一】标准ACL

1.实验目的

（1）掌握ACL 设计原则和工作过程

（2）掌握定义标准ACL

（3）掌握应用ACL

（4）掌握标准ACL 调试

2.实验内容及要求

实验拓扑如图如下：

【实现内容】：

本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET 服务。整个网络配置EIGRP（或OSPF）保证IP 的连通性。

【实验分析】：

补充：标准ACL最简单，是通过使用IP包中的源IP地址进行过滤，表号范围1-99或1300-1999。

配置ACL之前先保证所有网段网络之间能够互通，然后再进行ACL配置。实现网段互通我采用OSPF路由协议，它是一种开放式最短路径优先协议，顾名思义我们可以通过一些指定配置，如配置链路带宽来干预它的路由路径选择。

根据实验要求，集中在对R2上的访问控制，为保障实验操作简洁性，因此我们可以着手于R2上进行相应配置来实现。

【实验配置】：

OSPF配置：（实现网络互通作用）

R1:

interface Serial0/0/0 //与R2之间相连接的链路串口

ip address 192.168.12.1 255.255.255.0 //配置IP地址及掩码

clock rate 64000 //串口线时钟端配置时钟频率interface Serial0/0/1

ip address 192.168.23.1 255.255.255.0

clock rate 64000 //串口线时钟端配置时钟频率router ospf 1 //ospf本地进程号

log-adjacency-changes //激活路由协议邻接关系变化日志network 10.1.1.0 0.0.0.255 area 0 //宣告直连网络，骨干网络

network 172.16.1.0 0.0.0.255 area 0 //are 0 表骨干区域网络

network 192.168.12.0 0.0.0.255 area 0 //采用反掩码方式宣告

R2：

interface Loopback0 //创建回环接口

ip address 2.2.2.2 255.255.255.0 //作为路由器网管IP及路由ID

router ospf 1 //本地进程号

network 192.168.23.0 0.0.0.255 area 0 //宣告直连网络，下同

network 192.168.12.0 0.0.0.255 area 0

network 2.2.2.0 0.0.0.255 area 0

远程管理配置

enable password cisco //特权模式密码，还可采用secret配置

line vty 0 2 //允许三条线路进行管理

access-class 2 in //只允许list 2内的网络访问配置password cisco //telnet密码

login //启用,生效

R3：

router ospf 1

network 192.168.23.0 0.0.0.255 area 0

network 172.16.3.0 0.0.0.255 area 0 //R3只需宣告两个直连网络

标准ACL配置

R2：

拒绝PC2所在网络远程接入:

access-list 1 deny 172.16.1.0 0.0.0.255 //拒绝172.16.1.0网络

access-list 1 permit any //除指定网络，其余地址允许

access-list 2 permit host 172.16.3.2 //只允许的主机IP地址

interface Serial0/0/0 //PC2在s0/0/0方向在端口s0/0/0下配置ip address 192.168.12.2 255.255.255.0 //配置ip地址

ip access-group 1 in //在端口指定ACL列表1，方向为”进”

【实验测试】

拒绝PC2 所在网段访问路由器R2：

FastEthernet0 Connection:(default port)

IP Address......................: 172.16.1.2

PC>ping 2.2.2.2

Pinging 2.2.2.2 with 32 bytes of data:

Reply from 192.168.12.2: Destination host unreachable.

Reply from 192.168.12.2: Destination host unreachable.

…

PC2在R1路由表健全的情况下进行访问R2也是主机不可达，因此实验是成功的。

只允许主机PC3 访问路由器R2的TELNET:

在PC1下尝试对R2进行Telnet：

PC>telnet 2.2.2.2

Trying 2.2.2.2 ...Open

[Connection to 2.2.2.2 closed by foreign host] //连接被远端关闭

PC3对R2尝试Telnet：

PC>telnet 2.2.2.2

Trying 2.2.2.2 ...Open

User Access Verification

Password:

R2>en

Password:

R2#

结果是成功的，也就是只有指定IP才能对R2进行远程访问，其余网络或者IP 访问都将会被拒绝。

【实验任务二】扩展ACL

1.实验目的

（1）掌握定义扩展ACL

（2）掌握应用扩展ACL

（3）掌握扩展ACL 调试

2. 实验内容及要求

实验拓扑图同实验ACL标准配置实验。

【实现内容】：

本实验要求只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务，并拒绝PC3 所在网段PING 路由器R2。删除实验1 中定义的ACL，保留EIGRP（或OSPF）的配置。

【实验分析】：

1、先实现网络之间能够互通，这里与标准ACL实验的ospf配置一致不再赘述。

2、只允许PC2网段访问R2，需要在R1配置允许PC2网段访问R2（端口和路

由ID）访问的ACL规则列表，并在客户端出口端(客户端网关接口)做出限制。

R3做出拒绝PC3所在网段访问R2（端口和路由ID）icmp协议PING请求。【实验配置】：

R1：

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq www R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telne t

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq telne t

R1(config)#interface f0/0

R1(config-if)#ip access-group 100 in //在出口处应用ACL规则

R1配置允许PC2网段访问R2（端口和路由ID）访问的ACL规则列表

R3：

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.1

R3(config)#access-list 101 permit ip any any

R3(config)#access-list 101 permit ip any any

R3(config)#interface fastEthernet 0/0

R3(config-if)#ip access-group 101 in //靠近PC3端口进行ACL配置的应用

【实验测试】

只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务

PC2 Telnet route 2

PC>telnet 2.2.2.2

Trying 2.2.2.2 ...Open

User Access Verification

Password:

PC1 Telnet route 2

PC>telnet 2.2.2.2

Trying 2.2.2.2 ...

//版本原因WEB服务无法测试，但实现思想基本一致//

拒绝PC3 所在网段PING 路由器R2

R3的路由表

R3#show ip route

Gateway of last resort is not set

2.0.0.0/32 is subnetted, 1 subnets

O 2.2.2.2 [110/65] via 192.168.23.1, 01:18:54, Serial0/0/1 //转发路径是存在的PC>ping 2.2.2.2

Pinging 2.2.2.2 with 32 bytes of data:

Reply from 172.16.3.1: Destination host unreachable.

Reply from 172.16.3.1: Destination host unreachable.

…

显示主机不可达。

【实验任务三】静态NAT 配置

1.实验目的

（1）掌握静态NAT 的特征

（2）掌握静态NAT 基本配置和调试

2.实验内容及要求

实验拓扑图:

【实现内容】：

配置路由器R1 提供NAT 服务，要求采用静态NA T方法。

【实验分析】：

NAT在现实生活中非常的常见，甚至连无线路由器中都默认有转换的功能。也是短时间能节约公网IP的有效措施。只需出口端路由器接口做出配置即可实现NAT地址转换技术。

主要的思想是创建地址池，地址池中为公网IP，因为只有公网地址才能在外部网络正常使用。这里为静态NAT因此要单一指定内网地址并对应一个公网地址，需要手动操作绑定。

R1为企业内部路由器，R2为ISP路由器，一般ISP会给企业提供公网地址，企业必先要将公网IP配置到企业内部路由器，使得R1、R2经过路由协议实现互通。然后企业内部路由器再进行NAT转换配置，配置的条理要清晰。

【实验配置】：

实现网络互通：

R1：ip route 0.0.0.0 0.0.0.0 Serial0/0/0 //任意条目往S0/0/0送出interface Serial0/0/0

ip address 202.96.1.1 255.255.255.0

ip nat outside //指定为NAT公网出口clock rate 64000 //时钟频率

R2：ip route 202.94.1.0 255.255.255.0 Serial0/0/0

NAT地址转换配置：

R1：

interface FastEthernet0/0 //内部地址端口（网关）ip address 192.168.1.254 255.255.255.0 //配置网关地址

ip nat inside //局域网数据入口指定ip nat inside source static 192.168.1.2 202.96.1.3 //static表静态+内网IP→公网IP ip nat inside source static 192.168.1.1 202.96.1.4 //内网数据由202.96.1.4转发

【实验测试】：

开启路由调试模式：

R1#debug ip nat

IP NAT debugging is on

PC 访问外网ping 2.2.2.2

R1#

NAT: s=192.168.1.2->202.96.1.3, d=2.2.2.2 [1]

NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.2 [25]

NAT: s=192.168.1.2->202.96.1.3, d=2.2.2.2 [17]

NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.2 [17]

可以看到转换的过程是逆过程当然路由器也会有相应的数据库对这些转换条目做相应记录，对应配置来查看更加可以看出转换规则。

查看translations记录：

Pro Inside global Inside local Outside local Outside global

icmp 202.96.1.3:5 192.168.1.2:5 202.96.1.2:5 202.96.1.2:5

icmp 202.96.1.3:6 192.168.1.2:6 202.96.1.2:6 202.96.1.2:6

icmp 202.96.1.3:7 192.168.1.2:7 202.96.1.2:7 202.96.1.2:7

icmp 202.96.1.3:8 192.168.1.2:8 202.96.1.2:8 202.96.1.2:8

【实验任务四】动态NAT

【实验目的】

（1）掌握动态NAT 的特征

（2）掌握动态NAT 配置和调试

【实验内容及要求】

实验拓扑图同实验任务三。

配置路由器R1 提供NAT 服务，要求采用动态NA T方法。

【实验分析】

在配置动态NAT之前也要实现整网互通的前提再进行NAT配置实现地址转换。实现的路由协议很多，不一一赘述。

同样需要指定NAT 的inside以及outside接口，与静态NAT不同的是，动态的NAT需要定制一个公网地址池和需要指定进行地址转换的私网地址，也就是静态是多对一进行转换而动态可以多对多。但是转换的过程和思想是殊途同归的。

【实验配置】

R1：

R1(config)#ip nat pool NAT 202.96.1.3 202.96.1.100 netmask 255.255.255.0

//公网地址池

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 //创建ACL允许内网网络R1(config)#ip nat inside source list 1 pool NAT //NAT内部私有源地址

R1(config)#interface f0/0

R1(config-if)#ip nat inside //指定内部数据出去端口

R1(config-if)#interface s0/0/0

R1(config-if)#ip nat outside //外部方向端口

【实验测试】：

开启路由调试模式：

R1#debug ip nat

IP NAT debugging is on

PC1/PC2 访问外网ping 2.2.2.2

R1#

NAT: s=192.168.1.1->202.96.1.3, d=2.2.2.2 [1]

NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.1 [1]

NAT: s=192.168.1.2->202.96.1.4, d=2.2.2.2 [1]

NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.2 [5]

查看数据库记录：

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 202.96.1.4:5 192.168.1.1:5 2.2.2.2:5 2.2.2.2:5

icmp 202.96.1.4:6 192.168.1.1:6 2.2.2.2:6 2.2.2.2:6

icmp 202.96.1.4:7 192.168.1.1:7 2.2.2.2:7 2.2.2.2:7

访问控制列表(ACL)总结

访问控制列表（ACL）总结 一、什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下：access-list ACL号permit|deny host ip地址 例：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。 标准访问控制列表实例一：

标准ACL配置与调试

实验5 标准ACL配置与调试 1．实验目标 在这个实验中，我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。 2．实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3．实验要求 根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下： ⑴路由器R1： s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1： IP：10.1.1.2/8 网关：10.1.1.1 ⑶路由器R2： s0/0:192.168.100.2/24

fa0/0:172.16.1.1/16 ⑷计算机PC2： IP：172.16.1.2/16 网关：172.16.1.１ 4．实验步骤 在开始本实验之前，建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。 ⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。 ⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下： ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问：

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台；Router-PT 3 台；交叉线；DCE 串口线；Server-PT 1 台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）路由器之间通过V.35 电缆通过串口连接，DCE 端连接在R1 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP 地址。 （3）在路由器上配置静态路由协议，让三台PC 能够相互Ping 通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1 上编号的IP 标准访问控制。 （5）将标准IP 访问控制应用到接口上。 （6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）分公司出口路由器与外路由器之间通过V.35 电缆串口连接，DCE 端连接在R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC 机、服务器及路由器接口IP 地址。 （3）在各路由器上配置静态路由协议，让PC 间能相互ping 通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2 上配置编号的IP 扩展访问控制列表。 （5）将扩展IP 访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1：

PC2：

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置：PC0： Server0：

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

访问控制列表ACL配置-实验报告

课设5：访问控制列表ACL的配置 【实验目的】： 1．熟悉掌握网络的基本配置连接 2．对网络的访问性进行配置 【实验说明】： 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】： 【实验过程记录】：

步骤1：搭建拓扑结构，进行配置 （1）搭建网络拓扑图： （2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。 （3）设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置 代码如下： Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2：检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。 检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

ACL配置实验报告

南京信息工程大学实验（实习）报告 实验（实习）名称ACL的配置实验（实习）日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 （1）了解路由器的ACL配置与使用过程，会运用标准、扩展ACL建立基于路由器的防火墙，保护网络边界。 （2）了解路由器的NA T配置与使用过程，会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 （1）实验资源、工具和准备工作。Catalyst2620路由器2台，Windows 2000客户机2台，Windows 2000 Server IIS服务器2台，集线器或交换机2台。制作好的UTP网络连接（双端均有RJ-45头）平行线若干条、交叉线（一端568A，另一端568B）1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 （2）实验内容。设置图8.39中各台路由器名称、IP地址、路由协议（可自选），保存配置文件；设置WWW服务器的IP地址；设置客户机的IP地址；分别对两台路由器设置扩展访问控制列表，调试网络，使子网1的客户机只能访问子网2的Web服务80端口，使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制，进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议（可自选），保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表，调试网络。使子网1的客户机只能访问子网2的Web服务80端口， 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制，进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置（三）ACL基本配置 1，二层ACL . 组网需求: 通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

ACL访问控制列表配置

ACL的使用 ACL的处理过程： 1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit） 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny） 要点： 1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。） 允许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255） 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许172.17.31.222访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表（ACL ）实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立FTP 、WEB ，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图， 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为WWW Server 和FTP Server ）。 【实验原理】 基于时间的ACL 是在各种ACL 规则（标准ACL 、扩展ACL 等）后面应用时间段选项（time-range ）以实现基于时间段的访问控制。当ACL 规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效，一般需要下面的配置步骤。

（1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。 （2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装FTP Server和WWW Server和配置路由器。 （3）在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U，下载安装后见如下界面。

acl配置实验

ACL配置实验 一、实验目的： 深入理解包过滤防火墙的工作原理 二、实验容： 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示，1,2,3是主机，4是服务器 1、配置主机，服务器与路由器的IP地址，使网络联通； 2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL； 3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL； B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)

１、配置ACL 限制远程登录（telnet）到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机，服务器与路由器的IP地址，使网络联通；

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；

Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2 Router(config)#access-list 1 permit any Router(config)#int f 0/1 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit pc1 ping pc2和服务器

H3C实验报告大全【含18个实验】17.0-标准ACL

标准ACL 实验人：高承旺 实验名称：标准acl 实验要求： 不让1.1.1.1 ping通3.3.3.3 实验拓扑： 实验步骤： 网络之间开启RIP协议！ [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0

[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后，测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound

详解cisco访问控制列表ACL

详解cisco访问控制列表ACL 一：访问控制列表概述 〃访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。 〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。 〃实际应用：阻止某个网段访问服务器。 阻止A网段访问B网段，但B网段可以访问A网段。 禁止某些端口进入网络，可达到安全性。 二：标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置： router（config）#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router（config）#access-list表号 permit（允许） any 注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。 router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）

router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 （每当数据进入路由器的每口接口下，都会进行以下进程。） 注：当配置访问控制列表时，顺序很重要。要确保按照从具体到普遍的次序来排列条目。

访问控制列表实验.详解

实验报告如有雷同，雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表（ACL）实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图，注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为和）。 【实验原理】 基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选 项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在 此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生 效，其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效，一般需要下面的配置步骤。 （1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装和和配置路由器。 （3）在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U，下载安装后见如下界面。 先新建域：

Cisco访问控制列表

C i s c o访问控制列表 内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）

cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 分类： 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL

ACL IP访问控制列表配置实验

IP访问控制列表配置 目录： 第一个任务的：验证测试 (3) 第二个任务的：交换机的验证测试 (6) 第三个任务的：扩展访问验证测试 (10) 最后---总结： (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa

0端口，如图所示。 第1步：基本配置 路由器RouterA： R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB： R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0

配置实现访问控制列表ACL

石河子大学信息科学与技术学院 网络工程实验报告 课题名称：配置实现访问控制列表ACL 学生姓名： 学号： 学院：信息科学与技术学院专业年级： 指导教师： 完成日期：2014年4月25日

一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。 2、掌握使用show access-list，show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图，并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台，并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示：

2，PC0~PC2,server0,server1的IP配置： Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)

标准ACL实验

标准ACL实验： 要求：配置标准ACL禁止PC3、PC4、PC5、PC6访问PC1和PC2。 1.绘制拓扑结构图 2.配置路由器R0的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R0 R0(config)#interface FastEthernet0/0 R0(config-if)#ip address 192.168.10.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface FastEthernet1/0 R0(config-if)#ip address 192.168.20.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface Serial2/0 R0(config-if)#ip address 172.16.1.1 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown

R0(config-if)#exit R0(config)#interface Serial3/0 R0(config-if)#ip address 172.16.2.2 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#router rip R0(config-router)#network 192.168.10.0 R0(config-router)#network 192.168.20.0 R0(config-router)#network 172.16.0.0 R0(config-router)#exit R0(config)# 3.配置路由器R1的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R1 R1(config)#interface FastEthernet0/0 R1(config-if)#ip address 192.168.30.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface FastEthernet1/0 R1(config-if)#ip address 192.168.40.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface Serial2/0 R1(config-if)#ip address 172.16.1.2 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#router rip R1(config-router)#network 192.168.30.0 R1(config-router)#network 192.168.40.0 R1(config-router)#network 172.16.0.0 R1(config-router)#exit R1(config)#