實驗報告
課程名稱網路裝置與配置實驗專案 ip訪問控制列表的配置
專業班級指導教師
姓名學號
成績日期
一、實驗目的
掌握路由器上編號的標準ip訪問列表規則及配置。
二、實驗內容
1、連線;
2、路由器基本配置;
3、路由配置;
4、ip標準acl配置;
5、測試。
三、實驗背景
某公司組建自己的企業網,在企業網內有公司的財務處、經理部和銷售部分屬不同的3個網段,三個部門之間用路由器進行資訊傳遞。為了安全起見,公司領導要求銷售部門不能對財務部門進行訪問,但經理部可以對財務部進行訪問。
172.16.1.0網段代表經理部主機,172.16.2.0網段代表銷售部主機,172.16.4.0網段代表財務部主機。
四、技術原理
ip acl(ip訪問控制列表)是實現流經路由器或交換機的資料報根據一定規則進行過濾,從而提高網路可管理性和安全性。
ip acl分為兩種:標準ip訪問列表和擴充套件ip訪問列表。
標準ip訪問列表根據資料報的源ip位址定義規則,進行資料報的過濾。
擴充套件ip訪問列表可以根據資料報的源ip、目的ip、源埠、目的埠、協議來定義規則,進行資料報的過濾。
ip acl的配置方式有兩種:按照編號的訪問列表,按照命名的訪問列表。標準ip訪問列表編號範圍是1-99、1300-1999,擴充套件ip訪問列表編號範圍是100-199、2000-2699。
五、實現功能
實現網段間互相訪問的安全控制。
六、實驗裝置
2臺路由器、1臺三層交換機、3臺pc機,3條直連線、1條串列埠線;或者增加3臺交換機和3條直連線。
七、實驗拓撲
八、實驗步驟
1、rrouter0的基本配置
router# conf t
router(config)#hostname r1
r1(config)# int f 0/1
r1(config-if)# ip addr 172.16.1.1 255.255.255.0
r1(config-if)# no shutdown
r1(config-if)# int f 0/0
r1(config-if)# ip addr 172.16.2.1 255.255.255.0
r1(config-if)# no shutdown
r1(config-if)# int s 0/1/0
r1(config-if)# ip addr 172.16.3.1 255.255.255.0
r1(config-if)#clock rate 64000
r1(config-if)# no shutdown
測試:r1#show ip int brief !觀察介面狀態
2、rrouter1的基本配置
router(config)#hostname r2
r2(config-if)# int f 0/0
r2(config-if)# ip addr 172.16.4.1 255.255.255.0
r2(config-if)# no shutdown
r2(config-if)# int s 0/1/0
r2(config-if)# ip addr 172.16.3.2 255.255.255.0
r2(config-if)# no shutdown
測試:r2#show ip int brief !觀察介面狀態
3、配置路由
配置靜態路由或動態路由都可以,這裡以靜態路由為例。
r1(config)#ip route 172.16.4.0 255.255.255.0 s0/1/0
r2(config)#ip route 172.16.1.0 255.255.255.0 s0/1/0
r2(config)#ip route 172.16.2.0 255.255.255.0 s0/1/0
測試命令:show ip route
4、配置標準ip訪問控制列表
r2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
拒絕來自172.16.2.0網段的流量通過
r2(config)#access-list 1 permit 172.16.1.0 0.0.0.255
允許來自172.16.1.0網段的流量通過
驗證測試:
r2#show access-list 1
5、把訪問控制列表在介面下應用
r2(config)# int f 0/0
r2(config-if)# ip access-group 1 out
在介面下訪問控制列表出棧流量呼叫
6、驗證測試:
172.16.4.0網段的主機能ping通172.16.1.0網段,但不能ping通172.16.2.0網段。
九、實驗心得
通過本次實驗,我學會了對通過配置訪問控制列表來實現對主機的訪問限制,從而有效的提高了網路安全性。
實驗報告
課程名稱網路裝置與配置實驗專案 ip擴充套件訪問控制列表的配置
專業班級 0906101 指導教師陳偉巨集
姓名朱超兵學號26
成績日期 2012-05-02
一、實驗目的
掌握在交換機上命令的擴充套件ip訪問列表規則及配置。
二、實驗內容
1、連線;
2、三層交換機基本配置;
3、配置擴充套件ip acl;
4、測試。
三、實驗背景
你是學校的網路管理員,在三層交換機上連線ftp伺服器和www伺服器,另外還連線學生宿舍和教工宿舍。學校規定:學生只能訪問ftp伺服器,不能訪問www伺服器,教工沒有此限制。
四、技術原理
ip acl(ip訪問控制列表)是實現流經路由器或交換機的資料報根據一定規則進行過濾,從而提高網路可管理性和安全性。
ip acl分為兩種:標準ip訪問列表和擴充套件ip訪問列表。
標準ip訪問列表根據資料報的源ip位址定義規則,進行資料報的過濾。
擴充套件ip訪問列表可以根據資料報的源ip、目的ip、源埠、目的埠、協議來定義規則,進行資料報的過濾。
ip acl的配置方式有兩種:按照編號的訪問列表,按照命名的訪問列表。標準ip訪問列表編號範圍是1-99、1300-1999,擴充套件ip訪問列表編號範圍是100-199、2000-2699。
五、實現功能
實現網段間互相訪問的安全控制。
六、實驗裝置
1臺三層交換機、2臺pc機,1臺伺服器,3條直連線;或者增加2臺交換機和2條直連線。
七、實驗拓撲
八、實驗步驟
1、三層交換機基本配置
s3560-24(config)#vlan 10
s3560-24(config)#vlan 20
s3560-24(config)#vlan 30
s3560-24(config)#int f0/1
s3560-24(config-if)#switchport access vlan 10
!將伺服器端劃分到vlan10
s3560-24(config)#int f0/21
s3560-24(config-if)#switchport access vlan 20
!將教工宿舍端主機劃分到vlan20
s3560-24(config)#int f0/3
s3560-24(config-if)#switchport access vlan 30
!將學生宿舍端主機劃分到vlan30
s3560-24(config)#int vlan 10
s3560-24(config-if)#ip addr 192.168.10.1 255.255.255.0
s3560-24(config-if)#no shutdown
s3560-24(config)#int vlan 20
s3560-24(config-if)#ip addr 192.168.20.1 255.255.255.0
s3560-24(config-if)#no shutdown
s3560-24(config)#int vlan 30
s3560-24(config-if)#ip addr 192.168.30.1 255.255.255.0
s3560-24(config-if)#no shutdown
2、配置擴充套件ip訪問控制列表
s3560-24(config)#ip access-list extended www
!定義擴充套件訪問控制列表名稱
s3560-24(config-ext-nacl)#deny tcp 192.168.30.
0 0.0.0.
255 192.168.10.
0 0.0.0.
255 eq www !禁止www服務
s3560-24(config-ext-nacl)#permit ip any any
驗證命令:sh ip access-list www
3、把訪問控制列表在介面下應用
s3560-24(config)#int vlan 30
s3560-24(config-if)#ip access-group www in
4、驗證測試
配置學生伺服器,分別在學生網段和教師宿舍網段使用1臺主機,訪問web伺服器。測試結果為:學生網段不能訪問網頁,教工宿舍可以訪問網頁。
注意事項:
(1)訪問控制列表要在介面下應用;
(2)在deny某個網段後要用permit其他網段。
九、實驗心得
通過本次實驗,我學會了對通過配置訪問控制列表來實現對主機的訪問限制,從而有效的提高了網路安全性。
ACL訪問控制列表實驗報告
一實驗拓撲 二實驗裝置 s3760e交換機一台 s26e交換機一台 pc三颱。三實驗要求 1 在s26e上配置acl,使得學生pc只有在上班時間才能訪問伺服器 2 在s3760e上配置acl,使得學生pc 不能訪問s26e交換機的管理位址 3在s26e上配置acl,使得只有管理員能管理s26e交換機...
第13課標準IP訪問控制列表配置
注意 入棧埠和出棧埠 實驗目標 理解標準ip訪問控制列表的原理及功能 掌握編號的標準ip訪問控制列表的配置方法 實驗背景 你是公司的網路管理員,公司的經理部 財務 部門和銷售部分別屬於不同的3個網段,三部門 之間用路由器進行資訊傳遞,為了安全起見,公 司領導要求銷售部門不能對財務部進行訪問,但 經理...
cisco訪問控制列表acl所有配置命令詳解
cisco 路由acl 訪問控制列表 的配置 標準acl router config access list 1 99 permit deny 192.168.1.1 源ip 0.0.0.255 反碼 router config inte ce f0 0 router config if ip ac...