实验四ACL实验含详解.docVIP

实验四 ACL 、NAT 注：实验报告分别有标准ACL、拓展ACL、静态NAT、动态NAT、PAT 配置 五部分。 【实验任务一】标准ACL 1.实验目的 （1）掌握ACL 设计原则和工作过程 （2）掌握定义标准ACL （3）掌握应用ACL （4）掌握标准ACL 调试 2.实验内容及要求 实验拓扑如图如下： 【实现内容】： 本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET 服务。整个网络配置EIGRP（或OSPF） 保证IP 的连通性。 【实验分析】： 补充：标准ACL最简单，是通过使用IP包中的源IP地址进行过滤，表号范围1-99或1300-1999。 配置ACL之前先保证所有网段网络之间能够互通，然后再进行ACL配置。实现网段互通我采用OSPF路由协议，它是一种开放式最短路径优先协议，顾名思义我们可以通过一些指定配置，如配置链路带宽来干预它的路由路径选择。 根据实验要求，集中在对R2上的访问控制，为保障实验操作简洁性，因此我们可以着手于R2上进行相应配置来实现。 【实验配置】： OSPF配置：（实现网络互通作用） R1: interface Serial0/0/0 //与R2之间相连接的链路串口 ip address //配置IP地址及掩码 clock rate 64000 //串口线时钟端配置时钟频率 interface Serial0/0/1 ip address clock rate 64000 //串口线时钟端配置时钟频率 router ospf 1 //ospf本地进程号 log-adjacency-changes //激活路由协议邻接关系变化日志 network 55 area 0 //宣告直连网络，骨干网络 network 55 area 0 //are 0 表骨干区域网络 network 55 area 0 //采用反掩码方式宣告 R2： interface Loopback0 //创建回环接口 ip address //作为路由器网管IP及路由ID router ospf 1 //本地进程号 network 55 area 0 //宣告直连网络，下同 network 55 area 0 network 55 area 0 远程管理配置 enable password cisco //特权模式密码，还可采用secret配置 line vty 0 2 //允许三条线路进行管理 access-class 2 in //只允许list 2内的网络访问配置 password cisco //telnet密码 login //启用,生效 R3： router ospf 1 network 55 area 0 network 55 area 0 //R3只需宣告两个直连网络 标准ACL配置 R2： 拒绝PC2所在网络远程接入: access-list 1 deny 55 //拒绝网络 access-list 1 permit any //除指定网络，其余地址允许 access-list 2 permit host //只允许的主机IP地址 interface Serial0/0/0 //PC2在s0/0/0方向在端口s0/0/0下配置 ip address //配置ip地址 ip access-group 1 in //在端口指定ACL列表1，方向为”进” 【实验测试】 拒绝PC2 所在网段访问路由器R2： FastEthernet0 Connection:(default port) IP Address......................: PCping Pinging with 32 bytes of data: Reply from : Destination host unreachable. Reply from : Destination host unreachable. … PC2在R1路由表健全的情况下进行访问R2也是主机不可达，因此实验是成功的。 只允许主机PC3 访问路由器R2的TELNET: 在PC1下尝试对R2进行Telnet： PCtelnet Trying ...Open [Connection to closed by foreign host] //连接被远端关闭 PC3对R2尝试Telnet： PCtelnet