文档库 最新最全的文档下载
当前位置:文档库 › 第七章 访问控制列表练习题

第七章 访问控制列表练习题

第七章 访问控制列表练习题
第七章 访问控制列表练习题

《网络互联技术》练习题

第七章:访问控制列表

一、填空题

1、________________是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。

2、访问控制列表主要分为____________和扩展访问控制列表。

3、访问控制列表最基本的功能是_____________。

4、标准访问控制列表的列表号范围是__________。

5、将 66 号列表应用到fastethernet 0/0接口的in方向上去,其命令是_________________________。

5、定义77 号列表,只禁止192.168.5.0网络的访问,其命令是______________________________________________。

6、基于时间的访问控制列表,定义时间范围的关键字主要有两个,它们是___________和__________。

二、选择题

1、标准访问控制列表应被放置的最佳位置是在()。

A、越靠近数据包的源越好

B、越靠近数据包的目的地越好

C、无论放在什么位置都行

D、入接口方向的任何位置

2、标准访问控制列表的数字标识范围是()。

A、1-50

B、1-99

C、1-100

D、1-199

3、标准访问控制列表以()作为判别条件。

A、数据包的大小

B、数据包的源地址

C、数据包的端口号

D、数据包的目的地址

4、IP扩展访问列表的数字标示范围是多少? ()。

A、0-99

B、1-99

C、100-199

D、101-200

5、下面哪个操作可以使访问控制列表真正生效:()。

A、将访问控制列表应用到接口上

B、定义扩展访问控制列表

C、定义多条访问控制列表的组合

D、用access-list命令配置访问控制列表

6、以下对思科系列路由器的访问列表设置规则描述不正确的是()。

A、一条访问列表可以有多条规则组成

B、一个接口只可以应用一条访问列表

C、对冲突规则判断的依据是:深度优先

D、如果您定义一个访问列表而没有应用到指定接口上,思科路由器默认允许所有数据包通过该接口中。

7、下列对访问控制列表的描述不正确的是()。

A、访问控制列表能决定数据是否可以到达某处

B、访问控制列表可以用来定义某些过滤器

C、一旦定义了访问控制列表,则其所规范的某些数据包就会严格被允许或拒

D、访问控制列表可以应用于路由更新的过程当中

8、以下情况可以使用访问控制列表准确描述的是()。

A、禁止有CIH病毒的文件到我的主机

B、只允许系统管理员可以访问我的主机

C、禁止所有使用Telnet的用户访问我的主机

D、禁止使用UNIX系统的用户访问我的主机

9、访问控制列表(ACL)分为标准和扩展两种。下面关于ACL的描述中,错误的是( ) 。

A、标准ACL可以根据分组中的IP源地址进行过滤

B、扩展ACL可以根据分组中的IP目标地址进行过滤

C、标准ACL可以根据分组中的IP目标地址进行过滤

D、扩展ACL可以根据不同的上层协议信息进行过滤

10、使配置的访问列表应用到接口上的命令是什么?()。

A、access-group

B、access-list

C、ip access-list

D、ip access-group

11、在配置访问控制列表的规则时,关键字“any”代表的通配符掩码是什么()。

A、0.0.0.0

B、所使用的子网掩码的反码

C、255.255.255.255

D、无此命令关键字

12、“ip access-group”命令在接口上缺省的应用方向是什么"()。

A、in

B、out

C、具体取决于接口应用哪个访问控制列表

D、无缺省值

13、通配符掩码和子网掩码之间的关系是()。

A、两者没有什么区别

B、通配符掩码和子网掩码恰好相反

C、一个是十进制的,另一个是十六进制的

D、两者都是自动生成的

14、下列哪一个通配符掩码与子网172.16.64.0/27的所有主机匹配()。

A、255.255.255.0

B、255.255.224.0

C、0.0.0.255

D、0.0.31.255

15、在访问控制列表中地址和掩码为168.18.64.0 0.0.3.255表示的IP地址范围是()。

A、168.18.67.0~168.18.70.255

B、168.18.64.0~168.18.67.255

C、168.18.63.0~168.18.64.255

D、168.18.64.255~168.18.67.255

16、下面关于访问控制列表的配置命令,正确的是()。

A、access-list 100 deny 1.1.1.1

B、access-list 1 permit any

C、access-list 1 permit 1.1.1.1 0 2.2.2.2 0.0.0.255

D、access-list 99 deny tcp any 2.2.2.2 0.0.0.255

17、配置如下两条访问控制列表,则访问控制列表1和2所控制的地址范围关系是:()

access-list 1 permit 10.110.10.1 0.0.255.255

access-list 2 permit 10.110.100.100 0.0.255.255

A、1和2的范围相同

B、1的范围在2的范围内

C、2的范围在1的范围内

D、1和2的范围没有包含关系

18、如果在一个接口上使用了“ip access-group”命令,但没有创建相应的access list,在此接口上下面描述正确的是()。

A、拒绝所有的数据包in

B、拒绝所有的数据包out

C、拒绝所有的数据包in、out

D、允许所有的数据包in、out

19、访问控制列表配置中,操作符“gt portnumber”表示控制的是()。

A、端口号小于此数字的服务

B、端口号大于此数字的服务

C、端口号等于此数字的服务

D、端口号不等于此数字的服务

20、某台路由器上配置了如下一条访问控制列表,则下面表述正确的是()。access-list 4 permit 202.38.160.0 0.0.0.255

access-list 4 deny 202.38.0.0 0.0.255.255

A、只禁止源地址为202.38.0.0网段的所有访问

B、只允许目的地址为202.38.0.0网段的所有访问

C、检查源IP地址,禁止202.38.0.0大网段的主机,但允许其中的

202.38.160.0小网段上的主机

D、检查目的IP地址,禁止202.38.0.0大网段的主机,但允许其中的

202.38.160.0小网段的主机

21、对于下面这条访问控制列表配置,下列说法正确的是()。

Router(config)#access-list 1 permit 153.19.0.128 0.0.0.127

A、允许源地址小于153.19.0.128的数据包通过

B、允许目的地址小于153.19.0.128的数据包通过

C、允许源地址大于153.19.0.128,小于153.19.0.255的数据包通过

D、允许目的地址大于153.19.0.128的数据包通过

22、访问控制列表access-list 100 permit ip 129.38.1.1 0.0.255.255 202.38.5.2 0.0.0.0的含义是()。

A、允许主机129.38.1.1访问主机202.38.5.2

B、允许129.38.0.0的网络访问202.38.0.0的网络

C、允许主机202.38.5.2访问网络129.38.0.0

D、允许129.38.0.0的网络访问主机202.38.5.2

23、如下访问控制列表的含义是()。

access-list 100 deny icmp 10.1.10.10 0.0.255.255 any host-unreachable

A、规则序列号是100,禁止到10.1.10.10主机的所有主机不可达报文

B、规则序列号是100,禁止到10.1.0.0/16网段的所有主机不可达报文

C、规则序列号是100,禁止从10.1.0.0/16网段来的所有主机不可达报文

D、规则序列号是100,禁止从10.1.10.10主机来的所有主机不可达报文

24、访问控制列表 access-list 100 deny ip 10.1.10.10 0.0.255.255 any eq

80的含义是()。

A、规则序列号是100,禁止到10.1.10.10主机的telnet访问

B、规则序列号是100,禁止到10.1.0.0/16网段的www访问

C、规则序列号是100,禁止从10.1.0.0/16网段来的www访问

D、规则序列号是100,禁止从10.1.10.10主机来的rlogin访问

25、如下访问控制列表的含义是()。

access-list 102 deny udp 129.9.8.10 0.0.0.255 202.38.160.10 0.0.0.255 gt

128

A、规则序列号是102,禁止从202.38.160.0/24网段的主机到129.9.8.0/24

网段的主机使用端口大于128的UDP协议进行连接

B、规则序列号是102,禁止从202.38.160.0/24网段的主机到129.9.8.0/24

网段的主机使用端口小于128的UDP协议进行连接

C、规则序列号是102,禁止从129.9.8.0/24网段的主机到202.38.160.0/24

网段的主机使用端口小于128的UDP协议进行连接

D、规则序列号是102,禁止从129.9.8.0/24网段的主机到202.38.160.0/24

网段的主机使用端口大于128的UDP协议进行连接

26、下列所述的配置中,哪一个是允许来自网段172.16.0.0的数据包进入路由器

的串口0? ()。

A、Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

Router (config)#interface s0 Router (config-int-s0)#ip access-group 10 out

B、Router (config)#access-group 10 permit 172.16.0.0 255.255.0.0

Router (config)#interface s0 Router (config-int-s0)#ip access-list 10 out

C、Router (config)#access-list 10 permit 172.16.0.0 0.0.255.255

Router (config)#interface s0 Router (config-int-s0)#ip access-group 10 in

D、Router (config)#access-list 10 permit 172.16.0.0 .255.255.0.0’

Router (config)#interface s0 Router (config-int-s0)#ip access-group 10 in

27、以下ACL语句中,含义为“允许172.168.0.0/24 网段所有PC访问10.1.0.10

中的FTP服务”的是( ) 。

A、access-list 101 deny tcp 172.168.0.0 0.0.0.255 host 10.1.0.10 eq

ftp

B、access-list 101 permit tcp 172.168.0.0 0.0.0.255 host 10.1.0.10

eq ftp

C、access-list 101 deny tcp host 10.1.0.10 172.168.0.0 0.0.0.255 eq

ftp

D、access-list 101 permit tcp host 10.1.0.10 172.168.0.0 0.0.0.255

eq ftp

28、在路由器上已经配置了一个访问控制列表1,并且使用了防火墙。现在需要

对所有通过 Serial 0 接口进入的数据包使用规则1进行过滤。如下可以达到要

求的是()。

A、在Serial0的接口模式配置:access-group 1 in

B、在Serial0的接口模式配置:access-group 1 out

C、在Serial0的接口模式配置:ip access-group 1 in

D、在Serial0的接口模式配置:ip access-group 1 out

三、多项选择题

1、配置访问控制列表必须做的配置是()

A、设定时间段

B、指定日志主机

C、定义访问控制列表

D、在接口上应用访问控制列表

2、扩展访问列表可以使用哪些字段来定义数据包过滤规则? ()。

A、源IP地址

B、目的IP地址

C、端口号

D、协议类型

E、日志功能

3、使用访问控制列表可带来的好处是()。

A、保证合法主机进行访问,拒绝某些不希望的访问

B、通过配置访问控制列表,可限制网络流量,进行通信流量过滤

C、实现企业私有网的用户都可访问Internet

D、管理员可根据网络时间情况实现有差别的服务

4、访问控制列表可实现下列哪些要求()。

A、允许202.38.0.0/16网段的主机可以使用协议HTTP访问129.10.10.1

B、不让任何机器使用Telnet登录

C、使某个用户能从外部远程登录

D、让某公司的每台机器都可经由SMTP发送邮件

E、允许在晚上8:00到晚上12:00访问网络

F、有选择地只发送某些邮件而不发送另一些文件

5、下面哪些是ACL可以做到的()。

A、允许125.36.0.0/16网段的主机使用FTP协议访问主机129.1.1.1

B、不让任何主机使用Telnet登录

C、拒绝一切数据包通过

D、以上说法都不正确

6、下列关于访问列表以及访问列表配置命令的说法中,正确的是哪些?()。

A、访问列表有两类:IP标准列表,IP扩展列表

B、标准访问列表根据数据包的源地址来判断是允许或者拒绝数据包

C、normal/special字段表示该规则是在普通时间段中有效还是在特殊时间段有效,缺省是在普通时间段内有效

D、扩展访问列表使用包含源地址以外的更多的信息描述数据包匹配规则

7、下面能够表示“禁止从129.9.0.0网段中的主机建立与202.38.16.0网段内的主机的WWW端口的连接”的访问控制列表是()。

A、access-list 101 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0

0.0.0.255 eq www

B、access-list 100 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0

0.0.0.255 eq 80

C、access-list 100 deny ucp 129.9.0.0 0.0.255.255 202.38.16.0

0.0.0.255 eq www

D、access-list 99 deny ucp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255

eq 80

8、在路由器上配置如下命令,并将此规则应用在接口上,下列说法正确的是

()。

Access-list 100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect

Access-list 100 deny tcp any 10.2.1.2. 0.0.0.0 eq 23

Access-list 100 permit ip any any

A、禁止从10.1.0.0网段发来的ICMP的主机重定向报文通过

B、禁止所有用户远程登录到10.2.1.2主机

C、允许所有的数据包通过

D、以上说法均不正确

9、对防火墙如下配置:

firwell enable

端口配置如下

interface Serial0

ip address 202.10.10.1 255.255.255.0

encapsulation ppp

nat enable

interface Ethernet0

ip address 10.110.10.1 255.255.255.0

公司的内部网络接在Ethernet0,在Serial0通过地址转换访问Internet。

如果想禁止公司内部所有主机访问202.38.160.1/16的网段,但是可以访问其它

站点。如下的配置可以达到要求的是()。

A、access-list 1 deny 202.38.160.1 0.0.255.255 在Serial0口:

access-group 1 in

B、access-list 1 deny 202.38.160.1 0.0.255.255 在Serial0口:

access-group 1 out

C、access-list 101 deny ip any 202.38.160.1 0.0.255.255 在Ethernet0:

access-group 101 in

D、access-list 101 deny ip any 202.38.160.1 0.0.255.255 在Ethernet0:

access-group 101 out

10、单位路由器防火墙作了如下配置:

firewall enable

access-list normal 101 permit ip 202.38.0.0 0.0.0.255 10.10.10.10

0.0.0.255

access-list normal 101 deny tcp 202.38.0.0 0.0.0.255 10.10.10.10

0.0.0.255 gt 1024

access-list normal 101 deny ip any any

端口配置如下

interface Serial 0

Ip address 202.38.111.25 255.255.255.0

encapsulation ppp ip

access-group 101 in

interface Ethernet0

ip address 10.10.10.1 255.255.255.0

内部局域网主机均为10.10.10.0 255.255.255.0网段。以下说法正确的是()(本题假设其他网络均没有使用access list):

A、外部主机202.38.0.50可以ping通任何内部主机

B、内部主机10.10.10.5,可以任意访问外部网络资源

C、内部任意主机都可以与外部任意主机建立tcp连接

D、外部202.38.5.0/24网段主机可以与此内部网主机建立tcp连接

E、外部202.38.0.0/24网段主机不可以与此内部网主机建立端口号大于1024的tcp连接

四、简答题

1、请简述什么是访问控制列表。

2、访问控制列表的功能是什么。

3、请简述访问控制列表的实现机制。

4、访问控制列表主要有哪两种类型,各有什么区别?

5、请简述命名访问控制列表,它具有什么优势?

五、综合操作题

1、某公司总部和分支机构的网络配置如下图所示。在路由器R1和R2上配置安全策略,实现分支机构和总部的安全通信。

【问题】

完成以下ACL配置,实现总部主机10.0.1.3和分支机构主机10.0.2.3的通信。

R1(config)#access-list 110 permit ip host ______ host ________ R2(config)#access-list 110 permit ip host ________ host 10.0.1.3

2、某公司采用100M宽带接入Internet,公司内部有15台PC机,要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务,采用防火墙接入公网,拓扑结构如下图所示。

【问题1】

1.ACL默认执行顺序是 ____ ,在配置时要遵循 ____ 原则、最靠近受控对象原则、以及默认丢弃原则。

(A)最大特权(B)最小特权(C)随机选取

(D)自左到右(E)自上而下(F)自下而上

2.要禁止内网中IP地址为198.168.46.8的PC机访问外网,正确的ACL规则是_______。

(A)access-list 1 permit ip 192.168.46.0 0.0.0.255 any

access-list 1 deny ip host 198.168.46.8 any

(B)access-list 1 permit ip host 198.168.46.8 any

access-list 1 deny ip 192.168.46.0 0.0.0.255 any (C)access-list 1 deny ip 192.168.46.0 0.0.0.255 any

access-list 1 permit ip host 198.168.46.8 any

(D)access-list 1 deny ip host 198.168.46.8 any

access-list 1 permit ip 192.168.46.0 0.0.0.255 any

【问题2】

下面是在防火墙中的部分配置命令,请解释其含义:

permit tcp host 202.134.135.99 eq www any _____

access-list 10 permit ip any any ____

3、根据如下图示使用扩展访问控制列表实现:只允许外部网络的SMTP通信流量通过e1。

4、根据如下图示使用扩展访问控制列表实现:拒绝网络172.16.4.0 的FTP通信流量通过e0。

网络安全实验报告[整理版]

一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。

实验十一:标准访问控制列表配置

《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向

交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:

PC2:

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:

计算机网络ACL配置实验报告

计算机网络ACL配置实验报告 件)学院《计算机网络》综合性、设计性实验成绩单开设时间:xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验,模拟实现了对ACL的配置。在实验中,理解ACL对某些数据流进行过滤,达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解,如何控制非法地址访问自己的网络,以及为什么要进行数据过滤,对数据进行有效的过滤,可以使不良数据进入青少年中的视野,危害青少年的身心健康发展。该实验加深了我对网络的理解,同时加强了自身的动手能力,并将理论知识应用到实践当中。教师评语评价指标:l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R

1、R 2、R37(1)配置路由器R17(2)配置路由器R27(3)配置路由器R3 83、配置主机PC0、PC18(1)配置PC0的信息8(2)配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验,可以掌握如下技能: (1) ACL的概念(2) ACL的作用(3)根据网络的开放性,限制某些ip的访问(4)如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2,而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准,扩展以及命名ACL

标准ACL配置与调试

实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24

fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:

访问控制列表ACL配置-实验报告

课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:

步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。

(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。

ACL配置实验报告

南京信息工程大学实验(实习)报告 实验(实习)名称ACL的配置实验(实习)日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 (1)了解路由器的ACL配置与使用过程,会运用标准、扩展ACL建立基于路由器的防火墙,保护网络边界。 (2)了解路由器的NA T配置与使用过程,会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 (1)实验资源、工具和准备工作。Catalyst2620路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 (2)实验内容。设置图8.39中各台路由器名称、IP地址、路由协议(可自选),保存配置文件;设置WWW服务器的IP地址;设置客户机的IP地址;分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制,进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议(可自选),保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制,进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。

ACL IP访问控制列表配置实验

IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa

0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。

(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。

实验七 标准IP访问控制列表配置

实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,

配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal

实验报告hcna综合实验

HCNA实验手册 组名:一班一组 班级:网络安全一班

目录 实验一:HCNA 综合实验 (2) 实验目的: (2) 技术原理: (3) 实验拓扑: (3) 操作步骤: (4) 要求一: 内部客户端A属于VLAN 10,内部客户端B属于VLAN 20; (4) 要求二:内部三台交换机之间的双链路使用以太通道将链路聚合; (6) 要求三:内部三台交换机使用GVRP协议同步VLAN数据,内部三层交换机为SERVER角色; (9) 要求五: 边界两台路由器实现网关冗余,要求默认流量从边界路由器A向外传输;10要求六:内部路由使用OSPF协 (10) 要求七:分别映射两台WEB服务器的TCP 80端口至两台边界路由器的外部端口; (11) 要求八:不允许内部客户端A访问WEB服务器A;不允许内部客户端B访问WEB服务器的TCP 80端口。 (12) 基本配置九:ip地址的配置和一些vlan (13) 步骤七:测试 (15) 注意事项 (16) 实验:HCNA 综合实验 实验目的: 1 掌握hcna所学的所有技术的原理 2 掌握HCNA所学的所有技术的命令配置 1所使用的技术: vlan acl 三层技术 nat gvrp vrrp stp ip

技术原理: 1 vlan :虚拟局域网 2 acl:访问控制列表 3 三层技术:实验vlan间互通 4 nat :网络地址转换 5 gvrp:vlan 注册技术 6 vrrp : 虚拟路由冗余协议 7 stp :生成树 8 ip : 网际协议: 实验拓扑:

操作步骤: 要求一: 内部客户端A属于VLAN 10,内部客户端B属于VLAN 20; 1.内部客户端A属于VLAN 10 二层交换机 Sys SYSname 2SWA 1.2SWA 创建vlan vlan batch 10 interface Ethernet0/0/5 port link-type access port default vlan 10 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 #

H3C实验报告大全【含18个实验】17.0-标准ACL

标准ACL 实验人:高承旺 实验名称:标准acl 实验要求: 不让1.1.1.1 ping通3.3.3.3 实验拓扑: 实验步骤: 网络之间开启RIP协议! [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0

[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后,测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound

访问控制列表实验.详解

实验报告如有雷同,雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表(ACL)实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图,注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为和)。 【实验原理】 基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选 项(time-range)以实现基于时间段的访问控制。当ACL规则应用了时间段后,只有在 此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生 效,其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效,一般需要下面的配置步骤。 (1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。(2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装和和配置路由器。 (3)在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U,下载安装后见如下界面。 先新建域:

(1405021 21 余铅波)实验5、访问控制列表实验报告.doc

成都工业学院计算机工程系 《路由与交换技术》实验报告 实验名称实验5、访问控制列表实验实验时间2016.05.09 21 学生姓名余铅波班级1405021 学号 指导教师张敏批阅教师成绩 一、实验目的: 在本练习中,您需要完成编址方案、配置路由并实施命名访问控制列表。 二、实验设备: 联网的PC机一台,安装有Windows操作系统,Packet Tracer。 三、实验拓扑图 四、实验内容(实验要求) a.将172.16.128.0/19 划分为两个相等的子网以用于Branch 。 1)将第二个子网的最后一个可用地址分配给Gigabit Ethernet 0/0 接口。 2)将第一个子网的最后一个可用地址分配给Gigabit Ethernet 0/1 接口。 3)将编址记录在地址分配表中。 4)使用适当的编址配置Branch 。 b.使用与B1 连接的网络的第一个可用地址,为B1 配置适当编址。将编址记录在地址分配表 中。 c.根据以下条件,使用增强型内部网关路由协议(EIGRP) 路由配置Branch 。 ?通告所有三个连接网络 ?分配AS 编号1 ?禁用自动总结。 ?将相应接口配置为被动接口 ?使用管理距离5 在序列0/0/0 接口上总结172.16.128.0/19。 d.在 HQ 上设置默认路由,将流量发送到S0/0/1 接口。将路由重新分配给Branch 。 e.使用管理距离5,总结Serial 0/0/0 接口上的 HQ LAN 子网。

f.设计命名访问列表HQServer 以防止任何连接Branch 路由器Gigabit Ethernet 0/0 接口的 计算机访问HQServer.pka 。允许所有其他流量。在相应的路由器上配置访问列表,将其 应用于相应的接口且保证方向正确。 g.设计命名访问列表 BranchServer 以防止任何连接HQ 路由器Gigabit Ethernet 0/0 接口 的计算机访问Branch 服务器的HTTP 和HTTPS 服务。允许所有其他流量。在相应的路由器上配置访问列表,将其应用于相应的接口且保证方向正确。 地址分配表 设备接口IP 地址子网掩码默认网关 HQ G0/0 172.16.127.254 255.255.192.0 未提供 G0/1 172.16.63.254 255.255.192.0 未提供 S0/0/0 192.168.0.1 255.255.255.252 未提供 S0/0/1 64.104.34.2 255.255.255.252 64.104.34.1 分支机构G0/0 未提供G0/1 未提供S0/0/0 192.168.0.2 255.255.255.252 未提供 HQ1 网卡172.16.64.1 255.255.192.0 172.16.127.254 HQ2 网卡172.16.0.2 255.255.192.0 172.16.63.254 HQServer.pka 网卡172.16.0.1 255.255.192.0 172.16.63.254 B1 网卡 B2 网卡172.16.128.2 255.255.240.0 172.16.143.254 BranchServer.pka 网卡172.16.128.1 255.255.240.0 172.16.143.254 五、实验步骤 步骤一:先对分配子网对分支机构的接口做配置 interface GigabitEthernet0/0 ip address 172.16.159.254 255.255.240.0 ip access-group HQServer in duplex auto speed auto interface GigabitEthernet0/1 ip address 172.16.143.254 255.255.240.0 duplex auto speed auto interface Serial0/0/0 ip address 192.168.0.2 255.255.255.252 ip summary-address eigrp 1 172.16.128.0 255.255.224.0 5 步骤二:配置ERGIP协议完成相关配置 router eigrp 1 passive-interface GigabitEthernet0/0

ACL配置实验

ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验内容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)

1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;

实验十二 访问控制列表实验报告

实验十二访问控制列表 一、试验目的 1. 熟悉路由器的标准访问控制列表配置方法 2. 了解路由器的扩展访问控制列表配置方法 二、相关知识 访问控制列表(Access Control List ,简称ACL)既是控制网络通信流量的手段,也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一指令进行匹配,一旦获得匹配,则后续的指令将被忽略。 路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL,可以采用数字标识的方式。在使用ACL数字标识时,必须为每一协议的访问控制列表分配唯一的数字,并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围:1-99;扩展IP协议的ACL取值范围:100-199。 1标准ACL的相关知识 标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。 (1)标准ACL列表的定义 Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log] Access-list-num:ACL号(1-99) Deny:若测试条件成立,则拒绝相应的数据包 Permit:若测试条件成立,则接受相应的数据包 Source:源IP地址(网络或主机均可) Source-wildcard:与源IP地址配合使用的通配掩码 Log:是否就ACL事件生成日志 (2)标准ACL列表的接口配置 Router(config-if)#ip access-group access-list-number {in | out} 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。 in:指定相应的ACL被用于对从该接口进入的数据包进行处理。 out:指定相应的ACL被用于对从该接口流出的数据包进行处理。 注:在路由器的每一个端口,对每个协议、在每个方向上只能指定一个ACL列表 2扩展ACL的相关知识 扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况

访问控制列表实验报告

实训报告 实验名称访问控制列表 课程名称计算机网络 1.实验目的 掌握访问控制列表的概念。 能对路由器进行访问控制列表的设置。 2.实验环境 (1)微机4台,2811的路由器2台,2950的交换机4台,双绞线4条,串行线一条。 (2)在计算机上安装有windows xp 的操作系统,并且安装有Cisco Packet Tracer 软件。 3.实训规划和拓扑图规划:

4、实验要求: 要求:a、Lan 1 不能访问lan 2 . b、Lan 1 能访问lan 3 不能访问lan 4. c、Lan 2能访问lan 4 不能访问lan 3. 5、实验步骤: (1)按照规划,构建拓扑图。(标注好各个接口,和ip地址)(2)按照规划配置好路由器的各个接口的ip地址,并且配置好路由协议,这里用的rip 2.通过show ip route是否学到全网的路由。R1结果如下: R2结果如下: (3)配置访问控制列表: 针对要求:Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)

在R1:access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R1的接口f0/1: ip access-group 1 out 针对要求:Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照) 在R2 :access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R2.f0/1 ip access-group out 针对要求:Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照) 在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255 aceess-list 2 permit any R2.f0/0:ip access-group 2 out 6、实验结果: (1)针对要求:Lan 1 不能访问lan 2. 测试有以下结果: pc1 ping pc2不通,符合要求1,如下图所示。 Pc2 ping pc1如下图: Pc1上路由跟踪pc2: (2)针对要求:Lan 1 能访问lan 3 不能访问lan 4 Pc1 ping pc3:结果如下

访问控制列表(ACL)配置实验报告

实验四访问控制列表(ACL)配置 1、实验目的: (1)掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。 (2)思科交换机的基本ACL配置 2、实验环境: 利用Boson Network Designer软件绘制两台交换机(Cisco Catalyst1912 型)、一台路由器(Cisco2621型)以及三台PC进行互连。通过Boson Netsim软件加载绘制好的网络拓扑图,从而进行路由器、交换机以及PC的相关配置,网络拓扑图如图2-1所示。 3、实验内容:(1)使用Boson Network Designer软件绘制路由器互连的网络拓扑图。 (2)运行Boson Netsim软件,加载网络拓扑图后,分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置(交 换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口 令、各端口的参数)。 (3)在路由器上定义一个扩展访问控制列表,抑制某台PC的ICMP数据流通往其它任意的一条网段。将该列表应用于路由器的相应端口。然后, 进行相应的Ping测试。 (4)在路由器撤消之前配置的扩展访问控制列表,然后定义一个标准访问控制列表,抑制某条网段的PC机访问另一条网段的PC机。将该列表 应用于路由器的相应端口,最后进行相应的Ping测试。 2.3 实验步骤 (1)运行Boson Network Designer软件,按照图2-1所示绘制配置拓扑图,保存在相应的目录下。 (2)运行Boson Netsim软件,加载绘制好的网络拓扑图,然后切换到PC机设置界面,使用winipcfg命令,配置PC1的IP地址为192.168.1.3 ,子网掩码为: 255.255.255.0,网关为:192.168.1.1,如下图2-2所示:

相关文档
相关文档 最新文档