南昌大学网络技术-IP访问控制列表10..docVIP

南昌大学实验报告 学生姓名： 康涛 学 号： 8001613018 专业班级： 计网131 实验类型：□ 验证 □ 综合 □ 设计 □ 创新 实验日期： 2014.11.21 实验成绩： （以下主要内容由学生完成） 一、实验项目名称 IP访问控制列表 二、实验目的 掌握标准IP访问控制列表的格式 掌握扩展IP访问控制列表的格式 熟悉常用的IP访问控制列表配置命令 三、实验基本原理 路由器的访问控制列表 访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。 允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。 例如，某个组织可能希望允许（或拒绝）Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。 标准IP访问控制列表的基本格式 access-list listnumber permit|deny [host] sourceaddress|any [wildcardmask] [log] listnumber---表号范围，标准IP访问表的表号从1到99。 permit/deny----允许或拒绝，permit表示允许匹配报文通过接口，而deny表示匹配报文要被丢弃掉。 sourceaddress----源地址，如:。 wildcardmask------通配符屏蔽码，与子网屏蔽码的方式是刚好相反的，二进制的0表示一个“匹配”条件，二进制的1表示一个“不关心”条件 host/any----指定单个主机和所有主机 log----日志记录 扩展IP访问控制列表的基本格式 access-list listnumber permit|deny protocol [host] sourceaddress|any [wildcardmask] [sourceport] [host] destinationaddress|any [wildcardmask] [destinationport] [log] [option] listnumber---表号范围，扩展IP访问表的表号从100到199。 protocol-需要被过滤的协议，如IP、TCP、UDP、ICMP sourceport和destinationport-源端口和目的端口，用eq|lt|gt portnumber指定，表示等于、小于或大于某个端口 option-扩展选项，如established表示过滤ACK或RST位已设置的tcp报文 在一个路由器接口上配置一对一的访问控制列表的三步骤 在全局配置模式下定义访问表：access-list … 指定访问表所应用的接口，进入接口子配置模式：interface ethernet|fastethernet|serial slot_#/port_# 定义访问表作用于接口上的方向：ip access-group listnumber in|out 其它命令 删除访问控制列表：no access-list listnumber 查看访问控制列表：show access-list [listnumber] 四、主要仪器设备及耗材 运行 Windows XP/ Windows Server 2003/Windows 7 操作系统的计算机一台 Packet Tracer网络模拟器程序 五、实验步骤和实验数据及处理结果 1.网络配置 ·使用网络仿真软件Cisco Packet Tracer模拟图25.1网络（或者，用双绞线和串行线连接2台路由器、2台交换机、4台主机和1台HTTP服务器），设置路由器、主机A-D和HTTP服务器的IP地址（子网掩码）。 2.配置默认路由 ·在路由器Router0和Router1上各配置一条默认路由：默认情况下数据包从Serial2/0端口转发出去。使用ping命令，测试主机A、B、C、D和HTTP服务器之间的连通性，确保两两互通。 主机A依次ping主机B，C： 主机A依次pingHTTP和D： HTTP依次ping主机D，A,B,C： 3.配置标准访问控制列表 在路由器Router1上配置一个标准IP访问控制列表1，只禁止主机C对/24网络的访问，并在Serial2/0端口的in方向引用访问控制列表1。配置方法如下： Router#configure terminal Router(config)#access-list 1 deny host Router(conf