acl访问控制列表实验报告.docxVIP

acl访问控制列表实验报告 　　实训报告　　实验名称　　课程名称　　1.实验目的　　掌握访问控制列表的概念。　　能对路由器进行访问控制列表的设置。访问控制列表计算机网络　　2.实验环境　　微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线　　一条。　　在计算机上安装有windowsxp的操作系统，并且安装有CiscoPacketTracer　　软件。　　3.实训规划和拓扑图规划：　　4、实验要求：　　要求：a、Lan1不能访问lan2.　　b、Lan1能访问lan3不能访问lan4.　　c、Lan2能访问lan4不能访问lan3.　　5、实验步骤：　　按照规划，构建拓扑图。　　按照规划配置好路由器的各个接口的ip地址，并且配置好路由　　协议，这里用的rip2.通过showiproute是否学到全网的路由。　　R1结果如下：　　R2结果如下：　　配置访问控制列表：　　针对要求：Lan1不能访问lan2(以R1的接口f0/1为参照)　　在R1：access-list1deny　　access-list1permitany　　R1的接口f0/1:ipaccess-group1out　　针对要求：Lan1能访问lan3不能访问lan4(以R2的接口f0/1为参照)　　在R2:access-list1deny　　access-list1permitany　　/1ipaccess-groupout　　针对要求：Lan2能访问lan4不能访问lan3(以R2的接口f0/0为参照)　　在R2:aceess-list2deny　　aceess-list2permitany　　/0:ipaccess-group2out　　6、实验结果：　　针对要求：Lan1不能访问lan2.测试有以下结果：　　pc1pingpc2不通，符合要求1，如下图所示。　　Pc2pingpc1如下图：　　Pc1上路由跟踪pc2:　　针对要求：Lan1能访问lan3不能访问lan4　　Pc1pingpc3:结果如下　　实验报告第4页共7页　　Pc1pingpc4结果如下：　　Pc1　　路由跟踪pc4:tracert　　(3)针对要求：Lan2能访问lan4不能访问lan3Pc2pingpc4:　　Pc2pingpc3:　　实验报告第5页共7页　　Pc2路由跟踪pc3：　　4.实验分析　　要求Lan1不能互相访问lan2(以接口R1的接口f0/1为参照)以R1的接口f0/1为参照，　　不允许源地址为lan1的网络从接口f0/1出。　　允许原地址为的其它任何网络通过出。　　所以在R1上有以下语句：　　access-list1deny　　access-list1permitany　　R1的接口f0/1:ipaccess-group1out　　从ping和路由跟踪的结果来看，数据分组只到达就停止　　了。符合要求。　　针对要求：Lan1能访问lan3不能访问lan4　　以R2的接口f0/1为参照，　　拒绝源地址网络为lan1(/24)数据分组通过路由器R2的接口f0/1出。　　允许原地址为其它网络的数据分组从路由器R2的接口f0/1出。语句如下：　　R2:access-list1deny　　access-list1permitany　　/1ipaccess-groupout　　从pc1pingpc4和路由跟踪的结果来看，数据分组经过，到达　　就停止了，没有到达。符合要求。　　路由上ACL的配置　　一、什么是访问控制列表　　访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。　　二、访问控制列表的分类　　1.标准IP访问控制列表　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。　　2.扩展IP访问控制列表　　扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。　　扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的