实验10-济南大学.doc

实验10：ACL实验 10.1 实验相关知识 (1) ACL 是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过. (2) ACL遵循3P原则：每个接口、每种协议、每个方向放置一个 ACL (3) ACL工作原理：ACL 定义了一组规则，用于对进入入站接口的数据包、通过路由器中继的数据包，以及从路由器出站接口输出的数据包施加额外的控制；ACL 对路由器自身产生的数据包不起作用；ACL 语句按顺序执行操作。这些语句从上到下、一条一条地对照 ACL 评估数据包；最后一条隐含的语句适用于不满足之前任何条件的所有数据包，执行“拒绝”指令。 (4) ACL有两类：标准访问控制列表和扩展访问控制列表。标准访问控制列表仅根据源地址过滤IP数据包；扩展访问控制列表根据若干属性过滤IP数据包，包括源和目的IP地址、源和目的的TCP及UDP端口、协议类型（IP、ICMP、UDP、TCP或协议号）。 (5) ACL必须应用才接口上才能对通过接口的数据进行过滤，放置方式包括出站（Outbound）和入站（Inbound）两种方式。将扩展ACL尽可能靠近要拒绝流量的源。而由于标准ACL不会指定目的地址，所以其位置应该尽可能靠近目的地。 10.2 实验目的及要求 (1) 掌握ACL的基本工作原理。 (2) 理解标准ACL和扩展ACL的区别。 (3) 理解并掌握基于编号、命名的ACL的配置与管理、理解inboud和outbound的区别。 (4) 理解并掌握带序号的ACL的管理方法。 (5) 掌握ACL故障排除基本方法。 10.3 实验内容及步骤 第一部分 实验连接及基本配置 根据拓扑图10-1，检查网络设备连接。 图10.1 ACL实验拓扑图 第一步：设备基本配置 完成路由器基本配置，包括设备更名、口令设置，完成单臂路由配置。 PC地址配置参照图10-1所示，路由器、交换机参考配置如下所示。 【CoreR参考配置】 Routerenable Router#config terminal Router(config)#hostname CourR CoreR(config)# interface fastEthernet 0/0 CoreR(config-if)# description connect-to-SWA CoreR(config-if)# interface fastEthernet 0/0.10 CoreR(config-if)# encapsulation dot1q 10 CoreR(config-if)# ip address 51 CoreR(config-if)# interface fastEthernet 0/0.20 CoreR(config-if)# encapsulation dot1q 10 CoreR(config-if)# ip address 51 CoreR(config-if)# interface fastEthernet 0/0.100 CoreR(config-if)# encapsulation dot1q 100 native CoreR(config-if)# ip address 51 【SWA参考配置】 Switchenable Switch#config terminal Switch(config)#hostname SWA SWA(config)#vlan 10 SWA(config-vlan)#name student SWA(config-vlan)#vlan 20 SWA(config-vlan)#name teacher SWA(config-vlan)#vlan 100 SWA(config-vlan)#name management SWA(config-vlan)#exit SWA(config)#interface vlan 100 SWA(config-if)#ip address SWA(config)#ip default-gateway 51 SWA(config)# interface fastEthernet 0/1 SWA(config)# description connect-to-CoreR SWA(config-if)# switch trunk encapsulation dot1q //中继链路如不支持ISL可不配置 SWA(config-if)# switch mode trunk SWA(config-if)# switch trunk native vlan 100 SWA(config)# interface fastEthernet 0/2 SWA(con