计算机网络ACL配置实验报告件）学院《计算机网络》综合性、设计性实验成绩单开设时间：xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验，模拟实现了对ACL的配置。

在实验中，理解ACL对某些数据流进行过滤，达到实现基本网络安全的目的的过程。

我加深了对网络中安全的理解，如何控制非法地址访问自己的网络，以及为什么要进行数据过滤，对数据进行有效的过滤，可以使不良数据进入青少年中的视野，危害青少年的身心健康发展。

该实验加深了我对网络的理解，同时加强了自身的动手能力，并将理论知识应用到实践当中。

教师评语评价指标：l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录一、实验目的3二、实验要求3三、实验原理分析3四、流程图5五、配置过程51、配置信息52、配置路由器R1、R2、R37（1）配置路由器R17（2）配置路由器R27（3）配置路由器R383、配置主机PC0、PC18（1）配置PC0的信息8（2）配置PC1的信息94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1)路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2)路由器R3到R2的静态路由10六、测试与分析111、配置静态路由前112、配置好静态路由后123、结论13七、体会13实验报告一、实验目的通过本实验，可以掌握如下技能：（1） ACL的概念（2） ACL的作用（3）根据网络的开放性，限制某些ip的访问（4）如何进行数据过滤二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2，而只允许主机pc3访问路由器R2的tel 服务三、实验原理分析ACL 大概可以分为标准，扩展以及命名ACL1、标准ACL 标准ACL最简单，是通过使用IP包中的源IP地址进行过滤，表号范围1-99或1300-1999；2、扩展ACL 扩展ACL比标准ACL具有更多的匹配项，功能更加强大和细化，可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP连接建立等进行过滤，表号范围100-199或2000-2699；3、命名ACL 以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。

在访问控制列表的学习中，要特别注意以下两个术语。

1、通配符掩码：一个32比特位的数字字符串,它规定了当一个IP地址与其他的IP地址进行比较时，该IP地址中哪些位应该被忽略。

通配符掩码中的“1”表示忽略IP地址中对应的位，而“0”则表示该位必须匹配。

两种特殊的通配符掩码是“255、255、255、255”和“0、0、0、0” ，前者等价于关键字“any” ，而后者等价于关键字“host” ；2、 Inbound和 outbound：当在接口上应用访问控制列表时，用户要指明访问控制列表是应用于流入数据还是流出数据。

总之，ACL的应用非常广泛，它可以实现如下的功能：1、拒绝或允许流入（或流出）的数据流通过特定的接口；2、为DDR应用定义感兴趣的数据流；3、过滤路由更新的内容；4、控制对虚拟终端的访问；5、提供流量控制。

标准ACL配置命令：Router(config)#access-list access-list number permit/deny 源网段反掩码扩展ACL配置命令：Router(config)#access-list access-list number permit/denyicmp/tcp/udp/ospf/eigrp源网段反掩码目的网段反掩码？（问号之后可根据需要选择）命名ACL配置命令：Router(config)#ip access-list standard stand //对标准命名ACL取名为standRouter(config)#ip access-list extendedext1 //对扩展命名ACL取名为ext1之后在接口下进行应用，详细情况可见下列例子。

四、流程图五、配置过程1、配置路由器R1、R2、R3的基本信息配置信息：R1：Router(config)#intf0/0Router(config-if)#ip add1、1、1、2255、255、255、0Router(config-if)#no shutdown //注意，接口默认是关闭的，所以配置完IP地址后应该将其打开Router(config-if)#int f0/1Router(config-if)#ip add2、2、2、2255、255、255、0Router(config-if)#no shutdownRouter(config)#int serial 0/0/0Router(config-if)#ip add12、1、1、1255、255、255、0Router(config-if)#no shutdownR2：Router(config)#int s0/0/0Router(config-if)#ip add12、1、1、2255、255、255、0Router(config-if)#no shutdownRouter(config-if)#int s0/0/1Router(config-if)#ip add23、1、1、2255、255、255、0Router(config-if)#noshutdownR3:Router(config)#int s0/0/1Router(config-if)#ip add23、1、1、3255、255、255、0Router(config-if)#no shutdownRouter(config-if)#int f0/0Router(config-if)#ip add3、3、3、3255、255、255、0Router(config-if)#no shutdown配置图：2、配置PC1、PC2、PC3配置图：3、对三个路由器做路由协议配置，本实验在此用的OSPF协议。

配置信息R1：Router#conf tRouter(config)#routerospf1Router(config-router)#router-id21、1、1、1Router(config-router)#work12、1、1、0 0、0、0、255 area 0Router(config-router)#work1、1、1、0 0、0、0、255 area 0Router(config-router)#endR2：Router#conf tRouter(config)#routerospf1Router(config-router)#router-id12、2、2、2Router(config-router)#12、1、1、0 0、0、0、255 area 0Router(config-router)#23、1、1、0 0、0、0、255 area 0Router(config-router)#endR3：Router#conf tRouter(config)#routerospf1Router(config-router)#router-id23、3、3、3Router(config-router)#work3、3、3、0 0、0、0、255 area 0Router(config-router)#work23、1、1、0 0、0、0、255 area 0Router(config-router)#end配置图：4、过滤访问R2的ip达到的效果PC2所在网段无法访问路由器R2，而只允许主机pc3访问路由器R2的tel 服务。

配置信息主要是在R2上做配置，Router(config)#access-list10 deny2、2、2、0 0、0、0、255 //定义ACL执行条件Router(config)#access-list10 permit anyRouter(config)#int s0/0/0Router(config-if)#ip access-group10 in //在接口下应用Router(config)#access-list20 permit host3、3、3、1Router(config)#int s0/0/1 //在接口下应用远程登录Router(config-if)#line vty 04Router(config-line)#access-class2 in Router(config-line)#password ciscoRouter(config-line)#login配置图六、测试与分析1、对R2过滤访问的ip前PC2可以访问R2所在的ipPC3也可以访问R2所在的ip2、对访问R2的ip进行限制后PC2已经不能访问R2所在的ipPC3仍能访问R2所在的ip3、结论我们可以使用deny、permit对能够进行访问的ip进行限制，有利于安全性，比如一个企业有关的商业秘密网，应该会限制只有某些ip进来的访问才有效，或者还可以进行限制，从某个端口进来的访问才有效。

7、体会本次的实验了解到如何在搭建网络的时候对能够访问的ip进行限制，收益稍有，以前只是在建网站的时候了解到可以利用服务器apache的配置，对自己的网站能够限定某些ip用户才能够进行访问，现在了解到可以直接在建立网络的时候就对其限制，学到了一些东西。

另外刚开始配置的时候不熟悉，出现一些PC的ip地址配置错误的情况。