配置实现访问控制列表ACL

石河子大学信息科学与技术学院网络工程实验报告课题名称：配置实现访问控制列表ACL学生姓名：学号：学院：信息科学与技术学院专业年级：指导教师：完成日期：2014年4月25日一、实验目的1、熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。2、掌握使用showaccess-list，showaccess-lists和showipinterface[接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。3、能按要求利用CiscoPacketTracerV5.00模拟配置工具绘制出本实验的网络拓扑图，并能实现拓扑的物理连接4、熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法二、实验环境PC机一台，并安装PACKETTRACER5.0或以上版本三、实验步骤1、本实验的拓扑,如图所示：2，PC0~PC2,server0,server1的IP配置：Step2:配置PC0的IP、子网掩码、默认网关、DNS4项基本参数；(PC0:1.1.1.100255.255.255.0GW:1.1.1.3DNS:2.2.2.200)Step3:配置PC1的IP、子网掩码、默认网关、DNS4项基本参数；(PC1:1.1.1.200255.255.255.0GW:1.1.1.3DNS:2.2.2.200)Step4:配置PC2的IP、子网掩码、默认网关、DNS4项基本参数；(PC2:2.2.2.100255.255.255.0GW:2.2.2.1DNS:2.2.2.200)Step5:配置Server-PTServer0的IP、子网掩码、默认网关3项基本参数；(Server0:2.2.2.200255.255.255.0GW:2.2.2.1)Step6:配置Server-PTServer1的IP、子网掩码、默认网关3项基本参数；(Server0:4.4.4.100255.255.255.0GW:4.4.4.1)3，改路由器的名字；Step7:将Server0的显示名称改为DNSServer；将Server1的显示名称改为WebServer；（见14步拓扑图）Step8:将2621XMRouter0路由器的主机名命名为R1；将2621XMRouter1路由器的主机名命名为R2；4，Step15:配置R1的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址:1.1.1.3、子网掩码:255.255.255.0、激活端口:noshutdown）Step16:配置R1的Fastethernet0/1端口；（IP地址、子网掩码、激活端口）（提示：IP地址:2.2.2.1、子网掩码:255.255.255.0、激活端口:noshutdown）Step17:配置R1的Serial0/0端口；（IP地址、子网掩码、封装WAN协议帧格式、激活端口）（IP地址：3.3.3.1、子网掩码：255.255.255.252、封装WAN协议帧格式：encapPPP、激活端口：noshut）5，Step21:配置R1的RIPv2路由表项；6，Step23:再次测试当前各PC设备至各节点的连通性并记录下来。（提示：在PC0上pingR1、R2路由器设备的各端口；在PC0上pingPC2、DNSServer、WebServer在PC2上pingR1、R2路由器设备的各端口；在PC2上pingPC1、DNSServer、WebServer）7，Step24:配置R1的ACL，使PC0可以访问2.2.2.0网段上的全部节点（即PC2和DNSServer均可被PC0访问）。(提示：用access-list命令，注意标准ACL与扩展ACL的区别，尤其是通配符掩码WildcardMask的表示法)Step25:将上一步骤中配置的ACL绑定到R1的Fastethernet0/0端口，使之生效。8，Step28:将R1端口fa0/0上绑定的ACL清除使之不再生效。（提示：用noipaccess-group命令）Step29:开启DNSServer服务器的DNS服务，添加域名解析记录使ns.shzu.edu.cn域名指向2.2.2.200。Step30:在DNSServer服务器上添加第二条域名解析记录使ftp.shzu.edu.cn域名指向2.2.2.100（PC2）9，Step31:配置R1的ACL，使PC0所在的1.1.1.0网段上的节点（即PC0和PC1）只能访问DNSServer服务器而不能访问ftp.shzu.edu.cn。Step32:将上一步骤中配置的ACL绑定到R1的Fastethernet0/1端口，并使之生效。(提示：进入接口子模式用ipaccess-group命令，注意方向性)Step33:再次保存R1的配置，用showaccess-list命令、showaccess-lists命令、showipintfa0/1命令测试ACL是否创建生效，并记录下来。10，因为在上一步，在第一条规则禁止之后其余的默认禁止，所以要在102的第一条规则后加上以下规则才能打开默认禁止11，Step35:配置R1的ACL，使2.2.2.0网段上的节点（即PC2和DNSServer）不能访问Internet（即R2后面的WebServer服务器）。(提示：用access-list命令，注意标准ACL与扩展ACL的区别，尤其是通配符掩码WildcardMask的表示法)Step36:将上一步骤中配置的ACL绑定到R1的Serial0/0端口，使之也生效。(提示：进入接口子模式用ipaccess-group命令，注意方向性)12，showipinterfacebrief命令使用举例观察端口情况R1，R213，tracert命令的使用四、思考题1、标准ACL与扩展的ACL应放在靠近源节点的一端，还是靠近目标节点的一端？答:标准ACL要尽量靠近目端扩展ACL要尽量靠近源端主要由于其条件所决定,标准ACL只能用源IP来对网络进行控制,而扩展ACL则用源地址和目地址及端口号，这样网络才能有效地减少不必要的通信流量。2、如何判定ACL与端口绑定时的方向性？答：向路由器方向靠近（面向）的用in，远离（背向）的方向用out。六、实验心得这次实验是ACL访问控制列表实验，课上老师讲了有关于ACL列表的相关知识。知道了，这个列表是干什么的，它的原理是什么，在网络上起到什么作用，并且详细的为我们讲解了它的两种格式。当时，以为自己已经听懂并且已经掌握了，纸上得来终觉浅，绝知此事要躬行，只有真正的到了实验室接触到模拟软件开始操作了，才发现我原来还差的很多。在实验中我碰到了许多我没有想到的问题，大多是疏忽和没有记全的问题。其中有几个问题，我碰到的将其列出：在服务器上配置域名之后要重新关闭开启几次，不然可能ping的时候会有解析问题。在写ACL列表的时候list和group要分清。因为在一个列表中配置第一条指令后，其余的默认为全部禁止，如果这个端口需要其他的流量访问用到的话，需要加上一条命令将其打开，因为在第一条命令之后，所以并不影响。实验中，除了意识到不足与问题之外，还学到了很多的知识，比如：访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。最后，我总结这是一门动手能力很强的课！！！没有之一！！！