访问控制列表实验报告

实验报告 第7页共7页-PAGE7-第1页共7页实训报告实验名称访问控制列表课程名称计算机网络1.实验目的掌握访问控制列表的概念。能对路由器进行访问控制列表的设置。

2.实验环境（1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。（2）在计算机上安装有windowsxp的操作系统，并且安装有CiscoPacketTracer软件。3.实训规划和拓扑图规划：4、实验要求：要求：a、Lan1不能访问lan2.b、Lan1能访问lan3不能访问lan4.c、Lan2能访问lan4不能访问lan3.5、实验步骤：（1）按照规划，构建拓扑图。（标注好各个接口，和ip地址）（2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip2.通过showiproute是否学到全网的路由。R1结果如下：R2结果如下：（3）配置访问控制列表：针对要求：Lan1不能访问lan2(以R1的接口f0/1为参照)在R1：access-list1deny20.0.0.00.0.0.255access-list1permitanyR1的接口f0/1:ipaccess-group1out针对要求：Lan1能访问lan3不能访问lan4(以R2的接口f0/1为参照)在R2:access-list1deny20.0.0.00.0.0.255access-list1permitanyR2.f0/1ipaccess-groupout针对要求：Lan2能访问lan4不能访问lan3(以R2的接口f0/0为参照)在R2:aceess-list2deny30.0.0.00.0.0.255aceess-list2permitanyR2.f0/0:ipaccess-group2out6、实验结果：（1）针对要求：Lan1不能访问lan2.测试有以下结果：pc1pingpc2不通，符合要求1，如下图所示。Pc2pingpc1如下图：Pc1上路由跟踪pc2:（2）针对要求：Lan1能访问lan3不能访问lan4Pc1pingpc3:结果如下Pc1pingpc4结果如下：Pc1路由跟踪pc4:tracert50.0.0.2(3)针对要求：Lan2能访问lan4不能访问lan3Pc2pingpc4:Pc2pingpc3:Pc2路由跟踪pc3：4.实验分析（1）要求Lan1不能互相访问lan2(以接口R1的接口f0/1为参照)以R1的接口f0/1为参照，（一般在实际情况，在自己的路由器上防止别个进入，进行设置，跑到别个的路由器上设置不现实）不允许源地址为lan1的网络（20.0.0.0/24）从接口f0/1出。允许原地址为的其它任何网络（包括如30.0.0.0/24）通过出。所以在R1上有以下语句：access-list1deny20.0.0.00.0.0.255access-list1permitanyR1的接口f0/1:ipaccess-group1out从ping和路由跟踪的结果来看，数据分组只到达20.0.0.1就停止了。符合要求。（2）针对要求：Lan1能访问lan3不能访问lan4以R2的接口f0/1为参照，拒绝源地址网络为lan 1(20.0.0.0/24)数据分组通过路由器R2的接口f0/1出。允许原地址为其它网络的数据分组从路由器R2的接口f0/1出。语句如下：R2:access-list1deny20.0.0.00.0.0.255access-list1permitanyR2.f0/1ipaccess-groupout从pc1pingpc4和路由跟踪的结果来看，数据分组经过20.0.0.1，到达60.0.0.2就停止了，没有到达50.0.0.1。符合要求。（3）针对要求：Lan2能访问lan4不能访问lan3以R2的接口f0/0为参照，拒绝原地址网络为lan2（30.0.0.0/24）的数据分组从R2的接口f0/0出。允许源地址为其它网络地址的数据分组从R2的f0/0接口出。所以有以下程序：在R2aceess-list2deny30.0.0.00.0.0.255aceess-list2permitanyR2.f0/0:ipaccess-group2out从pc2pingpc3和路由跟踪来看：pc2的数据分组经过了30.0.0.1，到达了60.0.0.2，但就是到达不了40.0.0.1，所以符合要求。 5.实验结论： （1）通过这次实验，明白了访问控制列表的作用和配置格式，以及其含义：config)#access-list[#][permit|deny][source-address|keywordany][sourcemask]语法：access-list:命令语句[#]:程序名<1-99>标准访问控制列表；控制源地址；<100-199>扩展访问控制列表；[permit|deny]：允许|禁止[source-address|keywordany]：源地址,可以是网络号，也可是主机。[sourcemask]:网络通配符执行的语法：ipaccess-group[access-list-number][in|out]ipaccess-group:命令语句[access-list-number]:程序名[in|out]:从外进入路由|从路由内向外（2）搞清楚了要站在那个接口上，针对源地址为谁的网络，允许/禁止其进还是出。总结：对于路由器来说，它的控制策略有进口：出口：情况一如果允许接口1进入的数据向接口2进行转发，路由中的ACL策略：对于接口1而言，允许进入；对于接口3而言，禁止出。情况二从接口1中进入的数据不允许从接口2或接口3出。策略：禁止接口1中有目的地址数据进入。如果源地址是1的，禁止进入路由器。难点二：设置访问控制列表时，控制源地址还是控制目的地址？一般，控制源地址。安全策略：1、除了允许的，其它禁止的；(在操作系统中的)2、除了禁止的，其它允许的。在防火墙中，