计算机网络ACL配置实验报告.doc

信 息（软 件） 学 院计算机网络综合性、设计性实验成绩单开设时间：2015学年第二学期专业班级学号姓名实 验 题 目ACL自 我 评 价本次ACL的实验，模拟实现了对ACL的配置。在实验中，理解ACL对某些数据流进行过滤，达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解，如何控制非法地址访问自己的网络，以及为什么要进行数据过滤，对数据进行有效的过滤，可以使不良数据进入青少年中的视野，危害青少年的身心健康发展。该实验加深了我对网络的理解，同时加强了自身的动手能力，并将理论知识应用到实践当中。教 师 评 语评价指标：l 题目内容完成情况 优 良 中 差 l 对算法原理的理解程度 优 良 中 差 l 程序设计水平 优 良 中 差 l 实验报告结构清晰 优 良 中 差 l 实验总结和分析详尽 优 良 中 差 成绩教师签名目录一、实验目的3二、实验要求3三、实验原理分析3四、流程图5五、配置过程51、配置信息52、配置路由器R1、R2、R37（1）配置路由器R17（2）配置路由器R27（3）配置路由器R383、配置主机PC0、PC18（1）配置PC0的信息8（2）配置PC1的信息94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析111、配置静态路由前112、配置好静态路由后123、结论13七、 体会1314实验报告一、实验目的通过本实验，可以掌握如下技能： （1） ACL的概念 （2） ACL的作用（3） 根据网络的开放性，限制某些ip的访问（4） 如何进行数据过滤二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2，而只允许主机pc3访问路由器R2的telnet 服务三、实验原理分析ACL 大概可以分为标准，扩展以及命名ACL1. 标准ACL 标准ACL最简单，是通过使用IP包中的源IP地址进行过滤，表号范围1-99或1300-1999； 2. 扩展ACL 扩展ACL比标准ACL具有更多的匹配项， 功能更加强大和细化， 可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP连接建立等进行过滤，表号范围100-199或2000-2699； 3. 命名ACL 以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。 在访问控制列表的学习中，要特别注意以下两个术语。 1. 通配符掩码：一个32比特位的数字字符串,它规定了当一个IP地址与其他的IP地址进行比较时，该IP地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略IP地址中对应的位，而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和“0.0.0.0” ，前者等价于关键字“any” ，而后者等价于关键字“host” ； 2. Inbound和 outbound：当在接口上应用访问控制列表时，用户要指明访问控制列表是应用于流入数据还是流出数据。 总之，ACL的应用非常广泛，它可以实现如下的功能： 1. 拒绝或允许流入（或流出）的数据流通过特定的接口； 2. 为DDR应用定义感兴趣的数据流； 3. 过滤路由更新的内容； 4. 控制对虚拟终端的访问； 5. 提供流量控制。标准ACL配置命令：Router(config)#access-list access-list number permit/deny 源网段 反掩码 扩展ACL配置命令：Router(config)#access-list access-list number permit/deny icmp/tcp/udp/ospf/eigrp源网段 反掩码 目的网段 反掩码 ？（问号之后可根据需要选择）命名ACL配置命令：Router(config)#ip access-list standard stand /对标准命名ACL取名为standRouter(config)#ip access-list extended ext1 /对扩展命名ACL取名为ext1之后在接口下进行应用，详细情况可见下列例子。四、流程图五、配置过程1.配置路由器R1、R2、R3的基本信息配置信息：R1：Router(config)#int f0/0Router(config-if)#ip add 1.1.1.2 255.255.255.0Router(config-if)#no shutdown /注意，接口默认是关闭的，所以配置完IP地址后应该将其打开Router(config-if)#int f0/1Router(config-if)#ip add 2.2.2.2 255.255.255.0Router(config-if)#no shutdownRouter(config)#int serial 0/0/0Router(config-if)#ip add 12.1.1.1 255.255.255.0Router(config-if)#no shutdownR2：Router(config)#int s0/0/0Router(config-if)#ip add 12.1.1.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#int s0/0/1Router(config-if)#ip add 23.1.1.2 255.255.255.0Router(config-if)#no shutdownR3:Router(config)#int s0/0/1Router(config-if)#ip add 23.1.1.3 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#int f0/0Router(config-if)#ip add 3.3.3.3 255.255.255.0Router(config-if)#no shutdown配置图：2.配置PC1、PC2、PC3配置图：3. 对三个路由器做路由协议配置，本实验在此用的OSPF协议。配置信息R1：Router#conf tRouter(config)#router ospf 1Router(config-router)#router-id 21.1.1.1Router(config-router)#network 12.1.1.0 0.0.0.255 area 0Router(config-router)#network 1.1.1.0 0.0.0.255 area 0Router(config-router)#endR2：Router#conf tRouter(config)#router ospf 1Router(config-router)#router-id 12.2.2.2Router(config-router)#net 12.1.1.0 0.0.0.255 area 0Router(config-router)#net 23.1.1.0 0.0.0.255 area 0Router(config-router)#endR3：Router#conf tRouter(config)#router ospf 1Router(config-router)#router-id 23.3.3.3Router(config-router)#network 3.3.3.0 0.0.0.255 area 0Router(config-router)#network 23.1.1.0 0.0.0.255 area 0Router(config-router)#end配置图：4.过滤访问R2的ip达到的效果PC2所在网段无法访问路由器R2，而只允许主机pc3访问路由器R2的telnet 服务。配置信息主要是在R2上做配置，Router(config)#access-list 10 deny 2.2.2.0 0.0.0.255 /定义ACL执行条件Router(config)#access-list 10 permit anyRouter(config)#int s0/0/0Router(config-if)#ip access-group 10 in /在接口下应用Router(config)#access-list 20 permit host 3.3.3.1Router(config)#int s0/0/1 /在接口下应用远程登录Router(config-if)#line vty 0 4Router(config-line)#access-class 2 in Router(config-line)#password ciscoRouter(config-line)#login配置图六、测试与分析1.对R2过滤访问的ip前PC2可以访问R2所在的ipPC3也可以访问R2所在的ip2.对访问R2的ip进行限制后PC2已经不能访问R2所在的ipPC3仍能访问R2所在的ip3.结论我们可以使用deny、permit对能够进行访问的ip进行限制，有利于安全性，比如一个企业有关的商业秘密网