访问控制列表实验.详解

计算机网络实验报告警示1. 实验报告如有雷同，雷同各方当次实验成绩均以0分计。2. 当次小组成员成绩只计学号、姓名登录在下表中的。3. 在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。4. 实验报告文件以PDF格式提交。【实验题目】访问控制列表（ACL）实验。【实验目的】1. 掌握标准访问列表规则及配置。2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。【实验内容】完成教材实例5-4（P190），请写出步骤0安装与建立FTP、WEB，的步骤，并完成P192P193的测试要求。【实验要求】重要信息信息需给出截图，注意实验步骤的前后对比。【实验记录】(如有实验拓扑请自行画出)【实验拓扑】本实验的拓扑图结构如下图：【实验设备】路由器一台，PC 5台（其中两台作为WWW Server 和FTP Server）。【实验原理】基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。要基于时间的ACL一生效，一般需要下面的配置步骤。（1） 定义时间段及时间范围。（2） ACL自身的配置，即将详细的规则添加到ACL中。（3） 应用ACL，将设置好的ACL添加到相应的端口中。【实验步骤】步骤0：（1） 配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2） 检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装FTP Server和WWW Server和配置路由器。（3） 在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。FTP Server我们选择Serv-U，下载安装后见如下界面。先新建域：再创建用户，设置用户名和密码，选择根目录。www Server 我们选择Apache。下载，命令行下进入bin目录，使用httpd -k install命令安装。发现Apache无法正常启动，查看：发现80端口被占用，所以修改conf文件夹下的httpd.conf文件，找到Listen 80一行，把80改为8080(可以设为其它的，最好大于1024，而且必须小于等于65535)，保存，然后重新启动Apache服务。步骤1：路由器基本配置。Router#configure terminalRouter(config)#interface gigabitethernet0/0Router(config-if)#ip address Router(config-if)#exitRouter(config)#interface gigabitethernet0/1Router(config-if)#ip address Router(config-if)#exit步骤2：验证当前配置。（1） 验证PC与服务器的连通性。（2） 经理机和员工机可否登录FTP Server？通过 http:/ 10. 1. 1. 100 可否访问WWW Server？判断目前结果是否达到预期目标，说明原因。可以登录。通过 http:/ 10. 1. 1. 100 可以访问到WWW Server，结果达到预期目标，因为已经安装好FTP Server和WWW Server，路由器输入链路和输入链路配置好网关和掩码，而且路由器上并没有访问控制的限制。步骤3：配置时间段。定义正常上班时间段。步骤4：配置ACL配置ACL，并应用时间段，以实现需求中基于时间段的访问控制。步骤5：应用ACL。将ACL应用到F0/0接口的入方向。Router(config)#interface gigabitethernet0/0Router(config-if)#ip access-group accessctrl inRouter(config-if)#end步骤6：验证测试。 在使用基于时间的ACL时，要保证设备（路由器或交换机）的系统时间的准确性，因为设备是根据自己的系统时间（而不是PC时间）来判断当前时间是否在时间范围内。这个可以在特权模式下使用show clock命令来查看当前系统时间，并使用clock set命令调整系统时间。通过调整设备的系统时间来实现不同时间段测试ACL是否生效。本例分别作下列测试。（1） 查看路由器的系统时间：show clock判断当前时间段。（2） 经理的主机Manager用步骤0建立的用户名登录FTP Server，并通过http:/ 10. 1. 1. 100访问WWW Server，在设定时间段内是否能登录和访问？改变路由器系统时间段为正常上班时间：能登陆和访问FTP Server：能访问WWW Server：（3） 普通员工主机A、B分别用步骤0建立的用户名登录FTP Server，并通过http:/ 10. 1. 1. 100访问WWW Server，在设定时间内能登录和访问？能登陆FTP Server，但不能访问FTP Server上的文件夹：不能访问www Server。（4） 改变路由器系统时间段：clock set，在其他时间段执行（2）（3）的测试。改变路由器系统时间段为正常下班时间：经理的主机Manager能登陆和访问FTP Server，也能访问WWW Server：普通员工主机能访问WWW Server，但不能登陆和访问FTP：（5） 抓取主机访问服务器时的数据包，并进行分析。报文2022为三次握手过程：报文2427可看出登录名为lab，密码为lab：报文2831表明服务器响应客户机发出的请求：报文3235为四次挥手过程：ACL应用广泛，例如在NAT、IPv4-IPv6地址翻译、VPN技术中，都使用了ACL，因此需要认真掌握。本次实验完成后，请根据组员在实验中的贡献，请实事求是，自评在实验中应得的分数。（按百分制）【交实验报告】上传实验报告：09/ 截止日期（不迟于）：1周之内上传包括两个文件：（1）小组实验报告。上传文件名格式：小组号_ Ftp协议分析实验.pdf （由组长负责上传）例如: 文件名“10_ Ftp协议分析实验.pdf”表示第10组的Ftp协议分析实验报告（2）小