ACL配置实验1完整版.doc

第PAGE页

ACL配置实验

一、实验目的：

深入理解包过滤防火墙的工作原理

二、实验内容：

练习使用PacketTracer模拟软件配置ACL

三、实验要求

A.拓扑结构如下图所示，1,2,3是主机，4是服务器

1、配置主机，服务器及路由器的IP地址，使网络联通；

2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；

3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL；

B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)

１、配置ACL限制远程登录（telnet）到路由器的主机。

路由器R0只允许远程登录(telnet)。

2、配置ACL禁止/24网段的icmp协议数据包通向及/24网段。

3、配置ACL禁止特点的协议端口通讯。

禁止使用www(80)端口访问

禁止使用dns(53)端口访问

3、验证ACL规则,检验并查看ACL。

四、实验步骤

1、配置主机，服务器及路由器的IP地址，使网络联通；

PC0pingPC2

PC1ping服务器

服务器pingPC0

2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；

Routeren

Router#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#access-list1deny

Router(config)#access-list1permitany

Router(config)#intf0/1

Router(config-if)#ipaccess-group1out

Router(config-if)#exit

Router(config)#exit

pc1pingpc2和服务器

pc0pingpc2和服务器,可以ping通

删除该条ACL

Routeren

Router#showaccess-list

StandardIPaccesslist1

denyhost(8match(es))

permitany(8match(es))

Router#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#ipaccess-liststandardsoft

Router(config-std-nacl)#noaccess-list1

Router(config)#exit

Router#

%SYS-5-CONFIG_I:Configuredfromconsolebyconsole

Router#showaccess-list

StandardIPaccesslistsoft

PC1重新pingPC2和服务器，可以ping通

3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL；

更改前

更改acl

Routeren

Router#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#access-list101denytcpeq80

Router(config)#access-list101permitipanyany

Router(config)#intf0/1

Router(config-if)#ipaccess-group101out

Pc1不能访问服务器的www服务pc0可以

Pc1可以ping通服务器

删除ACL

Router#showaccess-list

StandardIPaccesslistsoft

ExtendedIPaccesslist101

denytcpeqwww(65match(es))

permitipanyany(9match(es))

Router#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(con