IP访问控制列表配置实验报告.docx

1、IP访问控制列表配置实验报告实验报告专业： 网络工程 班级：10网络（1）班 学号： 姓名 课程名称： 计算机网络工程 学年：2012-2013 学期：1 / 2 课程类别：专业必修 限选 任选 实践 实验时间：2012 年11月2日实验名称：IP访问控制列表配置实验指导实验目的和要求：熟悉路由器上标准IP ACL的规则；训练路由器上标准IP ACL的配置和测试方法；掌握路由器上标准IP ACL的配置过程。真实实验软硬件条件：路由器2台；PC机3台；连接线（4根）。模拟实验软硬件条件：C3600 IOSCloud+VPCS3根Fastethernet，1根Serial。实验内容：1、 参考下图

2、构建实验网络拓扑（配置两个路由器模块和各PC机网络接口、连接设备等）；2、 完整、明确地标注端口及配置信息；3、 在路由器RouteA上给f1/0端口、f2/0端口、s0/0端口配置IP；4、 在路由器RouteB上给f1/0端口，s0/0端口配置IP；5、 查看路由器RouteA和路由器RouteB的接口状态、路由信息并记录；6、 通过VPCS虚拟机，为每个PC机配置IP地址和网关参数；7、 测试主机PC1、PC2、PC3之间的连通性，并记录结果，保证它们之间能够相互访问；8、 在Route A上配置标准ACL，测试主机PC1、PC2、PC3之间的连通性，并记录结果；9、把RouteA上的A

3、CL去掉，再测试主机PC1、PC2、PC3之间的连通性，并记录结果；10、在RouteB上配置标准ACL，再测试主机PC1、PC2、PC3之间的连通性，并记录结果；11、把RouteB上的ACL去掉，再测试主机PC1、PC2、PC3之间的连通性，并记录结果；12、对以上结果进行讨论分析。实验结果：见附页小结：用ACL(访问控制列表)可以实现网段间互访的安全控制。评定成绩： 批阅教师： 年 月 日【实验拓扑】实验时，按照拓扑进行网络的连接，注意主机和路由器连接所用的端口。【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置路由器模块右键点击路由器RouteA图标，选中“配置”“插槽”，

4、进行如下图设置后，点击“OK”。 右键点击路由器RouteB图标，选中“配置”“插槽”，进行如下图设置后，点击“OK”。（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。同理对PC2、PC3进行配置，但各PC机间的本地端口号和远程端口号分别连续加1，使得各不相同。（4）按照网络拓扑图连接设备。步骤2.在CNS3中点击显示各端口信息，分别对其标注配置信息。源设备源接口介质类型目标接口目标设备Route A(Route A )S0/0Serial(Route B )S0/0Route BRoute Af1/0Faste

5、thernetNIO-UDPPC1Route Af2/0FastethernetNIO-UDPPC3Route Bf1/0FastethernetNIO-UDPPC2步骤3、路由器Route A上的基本配置RouteAenRouteA#conf tEnter configuration commands, one per line. End with CNTL/Z.Route(config)#hostname RouteA /路由器命名RouteA (config)#interface f1/0RouteA (config-if)#ip address 192.168.1.2 255.255.

6、255.0 /给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config)#interface fastethernet 2/0RouteA (config-if)#ip address 192.168.3.2 255.255.255.0 /给接口配置IP地址RouteA (config-if) #no shutdownRouteA (config-if)#int s0/0RouteA (config-if)#ip add 10.1.2.1 255.255.255.0 RouteA (config-if)#clock rate 64000 /配

7、置时钟频率RouteA (config-if)#no shutdownRouteA (config-if)#exitRouteA (config)#ip route 192.168.2.0 255.255.255.0 10.1.2.2 /配置静态路由RouteA(config)#exit步骤4、查看接口状态、路由信息并记录。RouteA#show ip interface brief /查看并记录结果 RouteA#show ip route /查看并记录结果 步骤5、路由器Route B上的基本配置RouteBenRoute#conf tRoute(config)#hostname Rout

8、eB RouteB(config)#interface fastethernet 1/0RouteB(config-if) #no shutdownRouteB(config-if)#ip address 192.168.2.2 255.255.255.0 RouteB(config)#int s0/0RouteB(config-if)#no shutdownRouteB(config-if)#ip add 10.1.2.2 255.255.255.0 RouteB(config-if)#exitRouteB(config)#ip route 192.168.1.0 255.255.255.0

9、 10.1.2.1 /配置静态路由RouteB(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.1 /配置静态路由RouteB(config)#exit步骤6、查看接口状态、路由信息并记录。RouteB#show ip interface brief /查看并记录结果 RouteB#show ip route /查看并记录结果 步骤7、测试三台主机PC1、PC2、PC3之间的连通性，并记录结果，保证它们之间能够相互访问。步骤8、在Route A上配置标准ACLRouteA#conf tEnter configuration commands,

10、 one per line. End with CNTL/Z.RouteA (config)#access-list 1 deny 192.168.1.0 0.0.0.255/配置标准ACL，不允许192.168.1.0这个网段的流量RouteA (config)#access-list 1 permit 192.168.3.0 0.0.0.255/配置标准ACL，允许192.168.3.0这个网段的流量RouteA (config)# int s0/0RouteA (config-if)#ip access-group 1 out /将ACL应用到接口s0/0出栈方向RouteA (conf

11、ig-if)#endRouteA #show access-lists 1 /查看访问列表1的详细信息并记录步骤9. 测试三台主机PC1、PC2、PC3之间的连通性。结果：PC1和PC3能相互ping通；PC1和PC2不能相互ping通；PC2和PC3能相互ping通。 分析并解释相应原因。因为在路由器RouterA的端口s0/0上配置了标准ACL，不允许192.168.1.0这个网段的流量，而PC1与PC2的连通需要通过路由器RouterA的端口s0/0，导致了PC1与PC2之间的不连通。步骤10. 把RouteA上的s0/1接口下的ACL去掉，再次测试三台主机PC1、PC2、PC3之间的连

12、通性，观察并记录、分析结果。RouteA (config)# int s0/0RouteA (config-if)#no ip access-group 1 out /把接口s0/0上的ACL去掉步骤11. 在Route B上配置标准ACL，再次测试三台主机PC1、PC2、PC3之间的连通性，方法同上。RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255 /配置标准ACL，不允许192.168

13、.1.0这个网段的流量RouteB(config)#access-list 1 permit 192.168.3.0 0.0.0.255/配置标准ACL，允许192.168.3.0这个网段的流量RouteB(config)#int s0/0RouteB(config-if)#ip access-group 1 in /将ACL应用到接口s0/0出栈方向RouteB(config-if)#endRouteB#show access-lists 1 /查看访问列表1的详细信息并记录PC1和PC3能相互ping通；PC1和PC2不能相互ping通；PC2和PC3能相互ping通。分析并解释相应原因。

14、原因与RouteA的s0/0配置了标准ACL，PC1与PC2不连通的原因是一样的。因为在路由器RouterB的端口s0/0上配置了标准ACL，不允许192.168.1.0这个网段的流量，而PC1与PC2的连通需要通过路由器RouterB的端口s0/0，导致了PC1与PC2之间的不连通。步骤12.把RouteB上的ACL去掉，再测试主机PC1、PC2、PC3之间的连通性，方法同上。RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#int s0/0RouteB(config

15、-if)#no ip access-group 1 in /把接口s0/0上的ACL去掉RouteB(config-if)#end【扩展练习】在上述实验中，如何在Route B的F0/1接口出栈方向使用标准ACL来达到PC1和PC2之间不能互访的目的？RouteB#conf tEnter configuration commands, one per line. End with CNTL/Z.RouteB(config)#access-list 1 deny 192.168.1.0 0.0.0.255 /配置标准ACL，不允许192.168.1.0这个网段的流量RouteB(config)#access-list 1 permit 192.168.3.0 0.0.0.255/配置标准ACL，允许192.168.3.0这个网段的流量RouteB(config)#int F0/1RouteB(config-if)#ip access-group 1 in /将ACL应用到接口F0/1出栈方向RouteB(config-if)#end再检查PC1和PC2之间的连通性。【注意事项】1注意在访问控制列表中的网络掩码是反掩码。2标准访问列表要应用在尽量靠近目标的地址的接口。3IP ACL基于接口应用时，分为入栈和出栈两个方向，命令为in和out。