GNS3——实现IP访问控制列表配置实验

1、实验报告专业： 网络工程 班级：XX网络（XX）班 学号：XXXXXXXXXXXXXXX 姓名： XXXX 课程名称： 计算机网络工程 学年：XXXXXXXXX 学期：1 / 2 课程类别：专业必修 限选 任选 实践 实验时间： XXX年XX月XX日实验名称：GNS3中实现IP访问控制列表配置实验实验目的和要求：1.熟悉路由器上标准IP ACL的规则。2.训练路由器上标准IP ACL的配置和测试方法。3.掌握路由器上标准IP ACL的配置过程。真实实验软硬件条件：1.装有Window XP系统笔记本。2.GNS3软件。3.VPCS虚拟机软件。模拟实验软硬件条件：1.路由器2台，用C3600 I

2、OS来模拟。2.PC机3台，用Cloud+VPCS来模拟。3.连接线（4根）：3根Fastethernet，1根Serial。实验内容：公司的经理部(PC3)、财务部(PC1)和销售部（PC2）分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部不能对财务部进行访问，但经理部可以对财务部和销售部进行访问。1.构建实验网络拓扑，并标注端口及配置信息。2.对路由器RouteA和RouteB进行配置，并查看记录接口状态、路由信息。3.通过VPCS虚拟机，为每个PC机配置IP地址和子网掩码，检查各主机的连通性。4.在Route A上配置标准ACL，测试各主机之间的连

3、通性，并记录结果。5.把RouteA上的ACL去掉，再测试各主机之间的连通性，并记录结果。6.在RouteB上配置标准ACL，测试各主机之间的连通性，并记录结果。7.把RouteB上的ACL去掉，再测试各主机之间的连通性，并记录结果。实验结果：在各端口配置IP ACL后，PC2不能访问PC1，即销售部不能对财务部进行访问，达到实验要求，在去掉IP ACL后，各主机之间的通信恢复正常。小结：通过实验，加深了对标准IP ACL的理解与认识，熟悉并掌握了标准IP ACL的配置和测试方法，实现了网段间互访的安全控制。评定成绩： 批阅教师： 年 月 日【实验拓扑】【注意事项】1注意在访问控制列表中的网络

4、掩码是反掩码。2标准访问列表要应用在尽量靠近目标的地址的接口。3标准ACL的编号范围是1-99、1300-1999，扩展访问列表的编号范围是100-199、2000-2999。4. IP ACL基于接口应用时，分为入栈和出栈两个方向，命令分别为in和out。【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图，各PC机使用cloud进行模拟。（2）配置路由器模块，右键点击路由器RouteA和路由器RouteB图标，选中“配置”“插槽”，进行如下图设置后，点击“OK”，如下图所示：（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”“NIO UDP”，进行如下图设置后，点击“添加”后再

5、点击“OK”。同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。（4）按照网络拓扑图连接设备。步骤2.（1）在CNS3中点击显示各端口信息，分别对其标注配置信息，其连接信息如下表所示：源设备源接口介质类型目标接口目标设备Route A(Route A)S0/0Serial(Route B)S0/0Route BRoute Af1/0FastethernetNIO-UDPPC1Route Af2/0FastethernetNIO-UDPPC3Route Bf1/0FastethernetNIO-UDPPC2步骤3.（1）点击“开始”按钮，运行所有机器。

6、（2）右键点击路由器RouteA图标，选中“console”，等待路由器RouteA初始化后，再进行配置，具体配置如下：Route>enRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.255.0 RouteA (config-if) #no shutdownRouteA (c

7、onfig)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 RouteA (config-if) #no shutdownRouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0 RouteA (config-if)#clock rate 64000 RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)

8、#ip route 192.168.2.0 255.255.255.0 10.1.2.2 RouteA(config)#exit步骤4.（1）查看并记录路由器RouteA接口状态，如下图所示：RouteA#show ip interface brief （2）查看并记录路由器RouteA路由信息，如下图所示：RouteA#show ip route 步骤5.（1）右键点击路由器RouteB图标，选中“console”，等待路由器RouteB初始化后，再进行配置，具体配置如下：Route>enRoute#conf tRoute(config)#hostname RouteB RouteB(

9、config)#interface fastethernet 1/0RouteB(config-if) #no shutdownRouteB(config-if)#ip address 192.168.2.2 255.255.255.0 RouteB(config)#int s0/0RouteB(config-if)#no shutdownRouteB(config-if)#ip add 10.1.2.2 255.255.255.0 RouteB(config-if)#exitRouteB(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1

10、/配置静态路由RouteB(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.1 /配置静态路由RouteB(config)#exit步骤6.（1）查看并记录路由器RouteB接口状态，如下图所示：RouteB#show ip interface brief （2）查看并记录路由器RouteB路由信息，如下图所示：RouteB#show ip route 步骤7.（1）通过VPCS虚拟机，按下面表格为每个主机配置IP地址，具体配置命令如下图，并测试三台主机的连通性，测试得知他们之间能够相互访问，如下图所示：虚拟机名IP地址子网掩码PC1192.

11、168.1.1255.255.255.0PC2192.168.2.1255.255.255.0PC3192.168.3.1255.255.255.0步骤8.（1）在Route A上配置标准ACL，并将ACL应用到Route A接口s0/0出栈方向，查看和记录访问列表的详细信息，如下图所示：RouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteA (config)#access-list 1 deny 192.168.1.0 0.0.0.255RouteA (config)#access-lis

12、t 1 permit 192.168.3.0 0.0.0.255RouteA (config)# int s0/0RouteA (config-if)#ip access-group 1 out RouteA (config-if)#endRouteA #show access-lists 1 （2）通过VPCS虚拟机，测试三台主机的连通性，测试得知PC1和PC3能相互ping通，PC1和PC2不能相互ping通，PC2和PC3能相互ping通，如下图所示：步骤9.（1）把Route A上的s0/0接口下的ACL去掉，如下所示：RouteA (config)# int s0/0RouteA (

13、config-if)#no ip access-group 1 out （2）通过VPCS虚拟机，再次测试三台主机的连通性，测试得知他们之间能够相互访问，如下图所示：步骤10.（1）在Route B上配置标准ACL，并将ACL应用到Route B接口s0/0入栈方向，查看和记录访问列表的详细信息，如下图所示： RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255RouteB(config)#a

14、ccess-list 1 permit 192.168.3.0 0.0.0.255RouteB(config)#int s0/0RouteB(config-if)#ip access-group 1 in RouteB(config-if)#endRouteB#show access-lists 1 （2）通过VPCS虚拟机，测试三台主机的连通性，测试得知PC1和PC3能相互ping通，PC1和PC2不能相互ping通，PC2和PC3能相互ping通，如下图所示：步骤11.（1）把Route B上的s0/0接口下的ACL去掉，如下所示：RouteB#conf tEnter configurat

15、ion commands, one per line. End with CNTL/Z.RouteB(config)#int s0/0RouteB(config-if)#no ip access-group 1 in RouteB(config-if)#end（2）通过VPCS虚拟机，再次测试三台主机的连通性，测试得知PC1和PC2之间恢复正常，彼此之间能够相互访问，如下图所示：步骤12.（1）在Route B上配置标准ACL，并将ACL应用到Route B接口f1/0出栈方向，查看和记录访问列表的详细信息，如下图所示： RouteB#conf tEnter configuration com

16、mands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255RouteB(config)#access-list 1 permit 192.168.3.0 0.0.0.255RouteB(config)#int f1/0RouteB(config-if)#ip access-group 1 outRouteB(config-if)#endRouteB#show access-lists 1（2）通过VPCS虚拟机，测试三台主机的连通性，测试得知PC1和PC3能相互ping

17、通，PC1和PC2不能相互ping通，PC2和PC3能相互ping通，如下图所示：步骤13.（1）把Route B上的f1/0接口下的ACL去掉，如下所示：RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#int f1/0RouteB(config-if)#no ip access-group 1 out（2）通过VPCS虚拟机，再次测试三台主机的连通性，测试得知PC1和PC2之间恢复正常，彼此之间能够相互访问，如下图所示：步骤10.（1）对在路由器RouteB中打开的

18、“console”窗口里输入的设置进行保存，如下图所示：（2）对在路由器RouteB中打开的“console”窗口里输入的设置进行保存，如下图所示：（3）对VPCS窗口里输入的设置进行保存，输入保存命令，如下图所示：（4）点击“文件”>“Save Project As”，输入下面名字，进行保存，点击“OK”，如下图所示：【实验分析】在路由器RouteA的s0/0端口出栈方向应用ip访问控制时，由于PC1和PC3连接在同一个路由器RouteA上，接入的端口没有任何限制，因此可以相互ping通；在PC1和PC2之间RouteA的s0/0端口出栈方向应用了ip访问控制，限制了与PC1的地址相符合的网段的包从该端口出去，但PC2送的包能到达PC1，因此不能相互ping通；而s0/0端口所应用的ip访问控制，允许了PC3所在网段的包通过，所以PC2和PC3能相互ping通。在路由器RouteB的s0/0端口入栈方向应用ip访问控制时，由于PC1和PC3连接在同