1、IP访问控制列表配置实验报告实验报告专业: 网络工程 班级:10网络(1)班 学号: 姓名 课程名称: 计算机网络工程 学年:2012-2013 学期:1 / 2 课程类别:专业必修 限选 任选 实践 实验时间:2012 年11月2日实验名称:IP访问控制列表配置实验指导实验目的和要求:熟悉路由器上标准IP ACL的规则;训练路由器上标准IP ACL的配置和测试方法;掌握路由器上标准IP ACL的配置过程。真实实验软硬件条件:路由器2台;PC机3台;连接线(4根)。模拟实验软硬件条件:C3600 IOSCloud+VPCS3根Fastethernet,1根Serial。实验内容:1、 参考下图
2、构建实验网络拓扑(配置两个路由器模块和各PC机网络接口、连接设备等);2、 完整、明确地标注端口及配置信息;3、 在路由器RouteA上给f1/0端口、f2/0端口、s0/0端口配置IP;4、 在路由器RouteB上给f1/0端口,s0/0端口配置IP;5、 查看路由器RouteA和路由器RouteB的接口状态、路由信息并记录;6、 通过VPCS虚拟机,为每个PC机配置IP地址和网关参数;7、 测试主机PC1、PC2、PC3之间的连通性,并记录结果,保证它们之间能够相互访问;8、 在Route A上配置标准ACL,测试主机PC1、PC2、PC3之间的连通性,并记录结果;9、把RouteA上的A
3、CL去掉,再测试主机PC1、PC2、PC3之间的连通性,并记录结果;10、在RouteB上配置标准ACL,再测试主机PC1、PC2、PC3之间的连通性,并记录结果;11、把RouteB上的ACL去掉,再测试主机PC1、PC2、PC3之间的连通性,并记录结果;12、对以上结果进行讨论分析。实验结果:见附页小结:用ACL(访问控制列表)可以实现网段间互访的安全控制。评定成绩: 批阅教师: 年 月 日【实验拓扑】实验时,按照拓扑进行网络的连接,注意主机和路由器连接所用的端口。【实验步骤】步骤1.(1)按照上图构建网络拓扑结构图(2)配置路由器模块右键点击路由器RouteA图标,选中“配置”“插槽”,
4、进行如下图设置后,点击“OK”。 右键点击路由器RouteB图标,选中“配置”“插槽”,进行如下图设置后,点击“OK”。(3)配置各PC机的网络接口,右键点击PC1图标,选中“配置”“NIO UDP”,进行如下图设置后,点击“添加”后再点击“OK”。同理对PC2、PC3进行配置,但各PC机间的本地端口号和远程端口号分别连续加1,使得各不相同。(4)按照网络拓扑图连接设备。步骤2.在CNS3中点击显示各端口信息,分别对其标注配置信息。源设备源接口介质类型目标接口目标设备Route A(Route A )S0/0Serial(Route B )S0/0Route BRoute Af1/0Faste
5、thernetNIO-UDPPC1Route Af2/0FastethernetNIO-UDPPC3Route Bf1/0FastethernetNIO-UDPPC2步骤3、路由器Route A上的基本配置RouteAenRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA /路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.
6、255.0 /给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 /给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0 RouteA (config-if)#clock rate 64000 /配
7、置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 /配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。RouteA#show ip interface brief /查看并记录结果 RouteA#show ip route /查看并记录结果 步骤5、路由器Route B上的基本配置RouteBenRoute#conf tRoute(config)#hostname Rout
8、eB RouteB(config)#interface fastethernet 1/0RouteB(config-if) #no shutdownRouteB(config-if)#ip address 192.168.2.2 255.255.255.0 RouteB(config)#int s0/0RouteB(config-if)#no shutdownRouteB(config-if)#ip add 10.1.2.2 255.255.255.0 RouteB(config-if)#exitRouteB(config)#ip route 192.168.1.0 255.255.255.0
9、 10.1.2.1 /配置静态路由RouteB(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.1 /配置静态路由RouteB(config)#exit步骤6、查看接口状态、路由信息并记录。RouteB#show ip interface brief /查看并记录结果 RouteB#show ip route /查看并记录结果 步骤7、测试三台主机PC1、PC2、PC3之间的连通性,并记录结果,保证它们之间能够相互访问。步骤8、在Route A上配置标准ACLRouteA#conf tEnter configuration commands,
10、 one per line. End with CNTL/Z.RouteA (config)#access-list 1 deny 192.168.1.0 0.0.0.255/配置标准ACL,不允许192.168.1.0这个网段的流量RouteA (config)#access-list 1 permit 192.168.3.0 0.0.0.255/配置标准ACL,允许192.168.3.0这个网段的流量RouteA (config)# int s0/0RouteA (config-if)#ip access-group 1 out /将ACL应用到接口s0/0出栈方向RouteA (conf
11、ig-if)#endRouteA #show access-lists 1 /查看访问列表1的详细信息并记录步骤9. 测试三台主机PC1、PC2、PC3之间的连通性。结果:PC1和PC3能相互ping通;PC1和PC2不能相互ping通;PC2和PC3能相互ping通。 分析并解释相应原因。因为在路由器RouterA的端口s0/0上配置了标准ACL,不允许192.168.1.0这个网段的流量,而PC1与PC2的连通需要通过路由器RouterA的端口s0/0,导致了PC1与PC2之间的不连通。步骤10. 把RouteA上的s0/1接口下的ACL去掉,再次测试三台主机PC1、PC2、PC3之间的连
12、通性,观察并记录、分析结果。RouteA (config)# int s0/0RouteA (config-if)#no ip access-group 1 out /把接口s0/0上的ACL去掉步骤11. 在Route B上配置标准ACL,再次测试三台主机PC1、PC2、PC3之间的连通性,方法同上。RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255 /配置标准ACL,不允许192.168
13、.1.0这个网段的流量RouteB(config)#access-list 1 permit 192.168.3.0 0.0.0.255/配置标准ACL,允许192.168.3.0这个网段的流量RouteB(config)#int s0/0RouteB(config-if)#ip access-group 1 in /将ACL应用到接口s0/0出栈方向RouteB(config-if)#endRouteB#show access-lists 1 /查看访问列表1的详细信息并记录PC1和PC3能相互ping通;PC1和PC2不能相互ping通;PC2和PC3能相互ping通。分析并解释相应原因。
14、原因与RouteA的s0/0配置了标准ACL,PC1与PC2不连通的原因是一样的。因为在路由器RouterB的端口s0/0上配置了标准ACL,不允许192.168.1.0这个网段的流量,而PC1与PC2的连通需要通过路由器RouterB的端口s0/0,导致了PC1与PC2之间的不连通。步骤12.把RouteB上的ACL去掉,再测试主机PC1、PC2、PC3之间的连通性,方法同上。RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#int s0/0RouteB(config
15、-if)#no ip access-group 1 in /把接口s0/0上的ACL去掉RouteB(config-if)#end【扩展练习】在上述实验中,如何在Route B的F0/1接口出栈方向使用标准ACL来达到PC1和PC2之间不能互访的目的?RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255 /配置标准ACL,不允许192.168.1.0这个网段的流量RouteB(config)#access-list 1 permit 192.168.3.0 0.0.0.255/配置标准ACL,允许192.168.3.0这个网段的流量RouteB(config)#int F0/1RouteB(config-if)#ip access-group 1 in /将ACL应用到接口F0/1出栈方向RouteB(config-if)#end再检查PC1和PC2之间的连通性。【注意事项】1注意在访问控制列表中的网络掩码是反掩码。2标准访问列表要应用在尽量靠近目标的地址的接口。3IP ACL基于接口应用时,分为入栈和出栈两个方向,命令为in和out。