项目五 配置访问控制列表(ACL)V1.0

［项目五］配置访问控制列表（ACL）［项目内容］

如图5.1所示的网络拓扑，要求实现以下任务：

1．配置EIGRP路由协议，保证网络通信正常；

2．在R1配置ACL，要求完成以下功能：

（1）拒绝主机A所在的网络访问Web服务器；

（2）拒绝主机A所在的网络ping到外部网络的任何地址。

3．配置R2，使得只允许主机C telnet到路由器R2；

图5.1 网络拓扑

［操作步骤］

一．EIGRP路由协议的配置

1．搭建网络环境

绘制如图5.1所示的网络拓扑并配置好路由器和计算机的端口及IP地址。2．配置EIGRP路由协议

（1）配置R1

R1(config)#router eigrp 100

R1(config-router)#net 10.1.1.0 0.0.0.255

R1(config-router)#net 12.12.12.0 0.0.0.255

R1(config-router)#no auto-summary

（2）配置R2

R2(config)#router eigrp 100

R2(config-router)#net 12.12.12.0 0.0.0.255

R2(config-router)#net 23.23.23.0 0.0.0.255

R2(config-router)#net 172.16.1.0 0.0.0.255

R2(config-router)#no auto-summary

（3）配置R3

R3(config)#router eigrp 100

R3(config-router)#net 23.23.23.0 0.0.0.255

R3(config-router)#net 192.168.1.0 0.0.0.255

R3(config-router)#no auto-summary

3．认证

R1#show ip route

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets

C 10.1.1.0 is directly connected, FastEthernet0/0

12.0.0.0/24 is subnetted, 1 subnets

C 12.12.12.0 is directly connected, Serial1/0

23.0.0.0/24 is subnetted, 1 subnets

D 23.23.23.0 [90/21024000] via 12.12.12.2, 00:47:41, Serial1/0

172.16.0.0/24 is subnetted, 1 subnets

D 172.16.1.0 [90/20514560] via 12.12.12.2, 00:47:41, Serial1/0

D 192.168.1.0/24 [90/21026560] via 12.12.12.2, 00:47:41, Serial1/0

R2#show ip route

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets

D 10.1.1.0 [90/20514560] via 12.12.12.1, 00:49:02, Serial1/0

12.0.0.0/24 is subnetted, 1 subnets

C 12.12.12.0 is directly connected, Serial1/0

23.0.0.0/24 is subnetted, 1 subnets

C 23.23.23.0 is directly connected, Serial1/1

172.16.0.0/24 is subnetted, 1 subnets

C 172.16.1.0 is directly connected, FastEthernet0/0

D 192.168.1.0/24 [90/20514560] via 23.23.23.3, 00:49:07, Serial1/1

R3#show ip route

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets

D 10.1.1.0 [90/21026560] via 23.23.23.2, 00:51:11, Serial1/1

12.0.0.0/24 is subnetted, 1 subnets

D 12.12.12.0 [90/21024000] via 23.23.23.2, 00:51:16, Serial1/1

23.0.0.0/24 is subnetted, 1 subnets

C 23.23.23.0 is directly connected, Serial1/1

172.16.0.0/24 is subnetted, 1 subnets

D 172.16.1.0 [90/20514560] via 23.23.23.2, 00:51:16, Serial1/1

C 192.168.1.0/24 is directly connected, FastEthernet0/0

二、在R1配置ACL

1. 配置

R1(config)#access-list 101 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 80 R1(config)#access-list 101 deny icmp 10.1.1.0 0.0.0.255 any

R1(config)#access-list 101 permit ip any any

R1(config)#int f0/0

R1(config)#ip access-group 101 in

2. 认证

R1#show access-list

Extended IP access list 101

deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq www

deny icmp 10.1.1.0 0.0.0.255 any

permit ip any any

R1#show ip interface

FastEthernet0/0 is up, line protocol is up (connected)

Internet address is 10.1.1.1/24

Broadcast address is 255.255.255.255

Address determined by setup command

MTU is 1500 bytes

Helper address is not set

Directed broadcast forwarding is disabled

Outgoing access list is not set

Inbound access list is 101

……

如图5.2所示，主机A无法访问Web服务器。

图5.2 主机A访问Web服务器如图5.3所示，主机A无法ping通主机C。

图5.3 主机A ping主机C

三．在R2配置ACL

1．配置

R2(config)# access-list 100 permit tcp host 172.16.1.100 host 172.16.1.2 eq 23 R2(config)# access-list 100 permit tcp host 172.16.1.100 host 12.12.12.2 eq 23 R2(config)# access-list 100 permit tcp host 172.16.1.100 host 23.23.23.2 eq 23 R2(config)# access-list 100 deny tcp any host 23.23.23.2 eq 23

R2(config)# access-list 100 deny tcp any host 12.12.12.2 eq 23

R2(config)# access-list 100 deny tcp any host 172.16.1.2 eq 23

R2(config)# access-list 100 permit ip any any

R2(config)#int s1/0

R2(config)#ip access-group 100 in

R2(config)#int s1/1

R2(config)#ip access-group 100 in

R2(config)#int f0/0

R2(config)#ip access-group 100 in

2．认证

R2#show ip interface

FastEthernet0/0 is up, line protocol is up (connected)

Internet address is 172.16.1.2/24

Broadcast address is 255.255.255.255

……

Outgoing access list is not set

Inbound access list is 100

……

Serial1/0 is up, line protocol is up (connected)

Internet address is 12.12.12.2/24

Broadcast address is 255.255.255.255

……

Outgoing access list is not set

Inbound access list is 100

……

Serial1/1 is up, line protocol is up (connected)

Internet address is 23.23.23.2/24

Broadcast address is 255.255.255.255

……

Outgoing access list is not set

Inbound access list is 100

……

在R2上设置telnet登录密码：

R2(config)#line vty 0 4

R2(config-line)#password cisco

R2(config-line)#login

在主机C上telnet路由器R2:

PC>telnet 12.12.12.2

Trying 12.12.12.2 ...

User Access Verification

Password:

R2>

在主机A上telnet路由器R2:

PC>telnet 23.23.23.2

Trying 23.23.23.2 ...

% Connection timed out; remote host not responding

PC>telnet 12.12.12.2

Trying 12.12.12.2 ...

% Connection timed out; remote host not responding

PC>

［知识链接］

一．什么是ACL?

访问控制列表Access control List简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持。

二．访问控制列表使用原则

由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1．最小特权原则

只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2．最靠近受控对象原则

所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则

在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别

等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

三．ACL工作过程

图5.4 ACL对数据包检查过程

图5.5 ACL工作过程

四．标准访问列表

访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL

1．标准访问控制列表的格式

标准访问控制列表是最简单的ACL。

它的具体格式如下：

access-list ACL号permit | deny {test-condition}

如：

access-list 10 deny 192.168.1.0 0.0.0.255 // 将所有来自192.168.1.0网段的数据包丢弃

access-list 10 deny host 192.168.1.1 // 将所有来自192.168.1.1地址的数据包丢弃

access-list 10 permit any

{test-condition}中有三种情况：

（1）网段地址反掩码

（2）host ip地址

（3）any ，表示任何ip地址

对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。

注意，一旦添加了访问控制列表，最后默认为deny any，所以，一般，在ACL最后要加上permit any规则。

2．将访问控制列表应用到某一接口上

例如：

int e1 // 进入E1端口。

ip access-group 10 in // 将ACL 1宣告

标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。

五．扩展访问控制列表

上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW，FTP等)。扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下：

access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。

同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。

表5-1 常见端口号

扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。

扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。

六．基于名称的访问控制列表

不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改

一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。

基于名称的访问控制列表的格式：

ip access-list [standard|extended] [ACL名称]

例如：ip access-list standard softer就建立了一个名为softer的标准访问控制列表。

当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。

例如我们添加三条ACL规则：

permit 1.1.1.1 0.0.0.0

permit 2.2.2.2 0.0.0.0

permit 3.3.3.3 0.0.0.0

如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2，如果使用不是基于名称的访问控制列表的话，使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。正是因为使用了基于名称的访问控制列表，我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。

如果设置ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。

七．反向访问控制列表

我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面，那就是防范病毒，我们可以将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击。

不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效，毕竟未知病毒使用的端口是我们无法估计的，而且随着防范病毒数量的增多会造成访问控制列表规则过多，在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。

反向访问控制列表格式非常简单，只要在配置好的扩展访问列表最后加上established即可。

例如：

access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established

定义ACL101，容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机，前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。

八．基于时间的访问控制列表

上面我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求，这时我们还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。

九．动态ACL

动态ACL是对传统访问表的一种重要功能增强。

动态ACL是能够自动创建动态访问表项的访问列表。传统的标准访问列表和扩展的访问列表不能创建动态访问表项。一旦在传统访问列表中加入了一个表项，除非手工删除，该表项将一直产生作用。而在动态访问表中，读者可以根据用户认证过程来创建特定的、临时的访问表项，一旦某个表项超时，就会自动从路由器中删除。

访问控制列表(ACL)总结

访问控制列表（ACL）总结 一、什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下：access-list ACL号permit|deny host ip地址 例：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。 标准访问控制列表实例一：

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台；Router-PT 3 台；交叉线；DCE 串口线；Server-PT 1 台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）路由器之间通过V.35 电缆通过串口连接，DCE 端连接在R1 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP 地址。 （3）在路由器上配置静态路由协议，让三台PC 能够相互Ping 通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1 上编号的IP 标准访问控制。 （5）将标准IP 访问控制应用到接口上。 （6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）分公司出口路由器与外路由器之间通过V.35 电缆串口连接，DCE 端连接在R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC 机、服务器及路由器接口IP 地址。 （3）在各路由器上配置静态路由协议，让PC 间能相互ping 通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2 上配置编号的IP 扩展访问控制列表。 （5）将扩展IP 访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1：

PC2：

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置：PC0： Server0：

网络管理复习资料

考试题型 选择题20个（共40分）、填空题10个（共10分）、简单题5个（共20分）、计算题1个（共10分），论述题2个（共20分） 复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能？ 按照国际标准化组织（ISO）的定义，网络管理主要包括五个方面工作，即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成？(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者：发出指令与操作 管理协议：通信方式与操作命令的约定（SNMP） 管理代理：驻留在被管实体的进程，负责接收指令，通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图？(自己完善) SNMP管理模型的关键元素： 网管站（Network Management Station）：对网络设备发送各种查询报文，并接收来自被管设备的响应及陷阱（trap）报文 代理（Agent）：响应查询报文、通过Trap主动发送报文 管理信息库(MIB)

注意：ＳＮＭＰ协议基于ＵＤＰ协议的，常用的端口为UDP161，162端口 MIB 数据库中的信息由代理（Agent ）收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容？（自己完善） 基础平台设计: 网络逻辑结构设计：协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网（VLAN ）设计、冗余设计等,网络物理结构设计：网络设备、网络服务器、综合布线等服务平台设计：操作系统的选择，网络服务的设计（WWW 、Email 、DNS 、DHCP 等）安全管理平台设计：防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址：255.255.255.255 回送地址:127.0.0.1(本机地址） 私有地址: 3.子网划分 子网划分方法： （1）确定子网位。 （2）验证主机位。

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

访问控制列表ACL配置-实验报告

课设5：访问控制列表ACL的配置 【实验目的】： 1．熟悉掌握网络的基本配置连接 2．对网络的访问性进行配置 【实验说明】： 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】： 【实验过程记录】：

步骤1：搭建拓扑结构，进行配置 （1）搭建网络拓扑图： （2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。 （3）设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置 代码如下： Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2：检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。 检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

网络管理复习详解详解

一、时间安排 2016年1月18日-1月22日期末考试 2016年1月19日-1月25日阅卷 2016年1月8 日-1月26日成绩录入 二、考试题型 选择题20个（共40分）、填空题10个（共10分）、简单题5个（共20分）、计算题1个（共10分），论述题2个（共20分） 三、考试知识点（请同学们一定要认真复习，该记住的一定要记住，如果会做也不要太早提前交卷，考试时间是2个小时，尽量在一个半小时以后才可以交卷哦！，还有不要想着抄袭，不要空着，加油！！！！） 四、复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能？ 按照国际标准化组织（ISO）的定义，网络管理主要包括五个方面工作，即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成？(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者：发出指令与操作 管理协议：通信方式与操作命令的约定（SNMP） 管理代理：驻留在被管实体的进程，负责接收指令，通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图？(自己完善) SNMP管理模型的关键元素： 网管站（Network Management Station）：对网络设备发送各种查询报文，并接收来自被管设备的响应及陷阱（trap）报文

代理（Agent ）：响应查询报文、通过Trap 主动发送报文 管理信息库(MIB) 注意：ＳＮＭＰ协议基于ＵＤＰ协议的，常用的端口为UDP161，162端口 MIB 数据库中的信息由代理（Agent ）收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容？（自己完善） 基础平台设计: 网络逻辑结构设计：协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网（VLAN ）设计、冗余设计等,网络物理结构设计：网络设备、网络服务器、综合布线等服务平台设计：操作系统的选择，网络服务的设计（WWW 、Email 、DNS 、DHCP 等）安全管理平台设计：防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址：255.255.255.255 回送地址:127.0.0.1(本机地址） 私有地址: 3.子网划分 子网划分方法： （1）确定子网位。 （2）验证主机位。

理论提问相关

第七讲防火墙与NA T配置 （1）包过滤防火墙工作原理 （2）NAT工作原理 （3）在配置NA T时，是ACL还是NA T TABLE 确定哪些内网主机的地址将被转换（4）防火墙分类（包过滤和状态防火墙） （5）NAT的特点（功能） 节约IP地址 提高内网安全性 （6）配置包过滤防火墙的主要步骤（一，制定访问规则二，将访问规则作用在某个接口上） （7）访问控制列表中的反掩码中，0表示网段需要比较，1表示主机，不需要比较 第六讲广域网 （1）PPP协议时TCP/IP中那一层协议（数据链路层协议） （2）PPP协议组包含哪些部分（LCP ,NCP, 验证协议PAPCHAP） （3）广域网数据链路层协议包括哪几种（PPP HDLC, ISDN,帧中继） （4）PPP验证方式有哪几种，PAP CHAP ,他们之间的区别 前者是明文验证，或者是密文验证。如果验证配置正确，显示接口信息，会发现IPCP OPENED, 如果配置有误，验证没有通过，会有IPCP INITIAL (5) 在配置验证过程中，如果只配置了主验证方，不配被验证方，通信正常么？（不正常）如果不配置主验证方，只配置被验证方，通信正常么（正常） （6）LOCAL-USER代表哪一方的用户（对方） （7）广域网常见的几种数据传输方式（点到点，电路交换，分组交换） 第五讲 (1)路由器的功能（寻路，转发） (2)如何查看路由器的型号和软硬件版本，DIS VERSION) (3)第一次拿到路由器，有几种方式登录上去（一种，CONSOLE） (4)如何更改路由器名称 (5)如何配置路由器的IP地址（如果配置交换机IP地址） (6)避免环路常用的措施是什么（水平分割，毒性逆转） (7)路由协议的分类（RIP ,OSPF） (8)缺省路由概念 第四讲 (1)缺省情况下，交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少（4096） (3)交换机端口链路类型分为（ACCESS, TRUNK,,HYBRID） (4)什么是广播域（接收同样广播消息的节点的集合。） (5)Vlan基本功能是什么（隔离广播域） (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能（vlan内部二层交换，vlan间路由，vlan划分） (9)何种情况下需要在设备上配置静态路由（无动态路由协议情况下要到达非直连网段） (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口（DIS VLAN 2） 第三讲

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置（三）ACL基本配置 1，二层ACL . 组网需求: 通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

ACL访问控制列表配置

ACL的使用 ACL的处理过程： 1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit） 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny） 要点： 1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。） 允许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255） 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许172.17.31.222访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表（ACL ）实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立FTP 、WEB ，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图， 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为WWW Server 和FTP Server ）。 【实验原理】 基于时间的ACL 是在各种ACL 规则（标准ACL 、扩展ACL 等）后面应用时间段选项（time-range ）以实现基于时间段的访问控制。当ACL 规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效，一般需要下面的配置步骤。

（1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。 （2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装FTP Server和WWW Server和配置路由器。 （3）在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U，下载安装后见如下界面。

CCNA教材-初学者最好的教材2

目 录 课程表： (1) 开学、师资、教材、路由器及模块介绍 第一讲： (2) 资源环境及路由机架拓扑分析 (2) 第二讲：路由器及通信服务器的基本配置、思科认证 (5) 第三讲：路由器的各种密码设置及接口地址设置 (7) 第四讲：两地互连路由配置，路由变PC，模拟器的使用，静态路由 (9) 第五讲：三地互连路由配置，环回接口的使用，动态RIP路由 (16) 第六讲：路由器优化配置，默认路由，上下文帮助，IGRP路由协议 (22) 第七讲：有类路由与无类路由及IP地址的企业化应用 (28) 第八讲：EIGRP路由协议及CCNA认证考试及考题分析 (33) 第九讲：OSPF路由协议及MD7密码破解 (38) 第十讲：路由原理、编辑命令及网络案例故障分析 (40) 第十一讲：标准访问控制列表 (43) 第十二讲：扩展访问控制列表 (47) 第十三讲：命名及VTY访问控制列表，静态NAT (50) 第十四讲：动态NAT及端口NAT (53) 第十五讲：路由器的启动过程及特权密码破解 (58) 第十六讲：PPP配置、IOS及配置文件的升级与备份 (62) 第十七讲：帧中继的配置 (74) 第十八讲：帧中继的配置及排错 (78) 第十九讲：交换机的启动、工作原理及基本配置 (85) 第二十讲：交换机的安全配置 (86) 第二十一讲：交换机的VLAN配置 (90) 第二十二讲：单臂路由、VTP (96) 网络案例及通信服务器（总路由器）的配置 (97) 第二十三讲：综合练习 (105) ；

第二讲 路由器及通信服务器的基本配置 思科认证体系介绍 本课重点：掌握终端服务器及路由器的基本配置 实验一： COMM_SERV_RACK1>r1 回车 Translating "r1" 再回车 Trying r1 (1.1.1.1, 2001)... Open R1> --------------如要从该路由器返回到通信服务器 ctrl+shift+6 x ---返回到总路由器(通信服务器) show session -----显示会话数(占用了几个路由器) show host --------显示总路由器所连的设备代号 disconnect 1------主动释放某台路由器 show user --------显示连接到总路由器的用户 clear line 19 ---踢除某个用户 clear line 5 ----踢除5号线所连设备 quit/exit----------退出总路由器，释放所有路由器 实验二： R1： enable -----进入特权模式 disable-----从特权模式返回到用户模式 enable -----再次进入特权模式 config terminal----进入全局模式 exit ----返回上一层相当于DOS环境中的cd.. config terminal interface serial0 ---进入接口模式（26xx系列路由器如：r5则使用serial0/0） ip address 192.168.51.1 255.255.255.0 clock rate 64000 ----配置时钟(DCE) no shutdown -----------激活启用当前接口 end------返回到最顶层相当于DOS环境中的cd\ config terminal hostname r100----给路由器命名(区分大小写r1，从通信服务器转过来还用线名r1，非路由器名) end disable ping 192.168.xy.x/y !!!!!---拼通 .....---查错

H3C实验报告大全【含18个实验】17.0-标准ACL

标准ACL 实验人：高承旺 实验名称：标准acl 实验要求： 不让1.1.1.1 ping通3.3.3.3 实验拓扑： 实验步骤： 网络之间开启RIP协议！ [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0

[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后，测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound

理论提问相关.

第七讲防火墙与NAT配置 （1）包过滤防火墙工作原理 （2）NAT工作原理 （3）在配置NAT时，是ACL还是NAT TABLE确定哪些内网主机的地址将被转换（4）防火墙分类（包过滤和状态防火墙） （5）NAT的特点（功能） 节约IP地址 提高内网安全性 （6）配置包过滤防火墙的主要步骤（一，制定访问规则二，将访问规则作用在某个接口上） （7）访问控制列表中的反掩码中，0表示网段需要比较，1表示主机，不需要比较 第六讲广域网 （1）PPP协议时TCP/IP中那一层协议（数据链路层协议） （2）PPP协议组包含哪些部分（LCP,NCP,验证协议PAPCHAP） （3）广域网数据链路层协议包括哪几种（PPP HDLC,ISDN,帧中继） （4）PPP验证方式有哪几种，PAP CHAP,他们之间的区别 前者是明文验证，或者是密文验证。如果验证配置正确，显示接口信息，会发现IPCP OPENED,如果配置有误，验证没有通过，会有IPCP INITIAL (5)在配置验证过程中，如果只配置了主验证方，不配被验证方，通信正常么？（不正常）如果不配置主验证方，只配置被验证方，通信正常么（正常） （6）LOCAL-USER代表哪一方的用户（对方） （7）广域网常见的几种数据传输方式（点到点，电路交换，分组交换） 第五讲 (1)路由器的功能（寻路，转发） (2)如何查看路由器的型号和软硬件版本，DIS VERSION) (3)第一次拿到路由器，有几种方式登录上去（一种，CONSOLE） (4)如何更改路由器名称 (5)如何配置路由器的IP地址（如果配置交换机IP地址） (6)避免环路常用的措施是什么（水平分割，毒性逆转） (7)路由协议的分类（RIP,OSPF） (8)缺省路由概念 第四讲 (1)缺省情况下，交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少（4096） (3)交换机端口链路类型分为（ACCESS,TRUNK,,HYBRID） (4)什么是广播域（接收同样广播消息的节点的集合。） (5)Vlan基本功能是什么（隔离广播域） (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能（vlan内部二层交换，vlan间路由，vlan划分） (9)何种情况下需要在设备上配置静态路由（无动态路由协议情况下要到达非直连网段） (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口（DIS VLAN2） 第三讲

详解cisco访问控制列表ACL

详解cisco访问控制列表ACL 一：访问控制列表概述 〃访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。 〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。 〃实际应用：阻止某个网段访问服务器。 阻止A网段访问B网段，但B网段可以访问A网段。 禁止某些端口进入网络，可达到安全性。 二：标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置： router（config）#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router（config）#access-list表号 permit（允许） any 注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。 router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）

router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 （每当数据进入路由器的每口接口下，都会进行以下进程。） 注：当配置访问控制列表时，顺序很重要。要确保按照从具体到普遍的次序来排列条目。

访问控制列表实验.详解

实验报告如有雷同，雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表（ACL）实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图，注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为和）。 【实验原理】 基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选 项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在 此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生 效，其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效，一般需要下面的配置步骤。 （1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装和和配置路由器。 （3）在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U，下载安装后见如下界面。 先新建域：

Cisco访问控制列表

C i s c o访问控制列表 内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）

cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 分类： 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL

ACL配置实验

ACL配置实验 一、实验目的： 深入理解包过滤防火墙的工作原理 二、实验内容： 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示，1,2,3是主机，4是服务器 1、配置主机，服务器与路由器的IP地址，使网络联通； 2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL； 3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL； B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)

１、配置ACL 限制远程登录（telnet）到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机，服务器与路由器的IP地址，使网络联通；

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；

配置实现访问控制列表ACL

石河子大学信息科学与技术学院 网络工程实验报告 课题名称：配置实现访问控制列表ACL 学生姓名： 学号： 学院：信息科学与技术学院专业年级： 指导教师： 完成日期：2014年4月25日

一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。 2、掌握使用show access-list，show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图，并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台，并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示：

2，PC0~PC2,server0,server1的IP配置： Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)