ACL配置实验,acl配置实验报告

('ACL配置实验一、实验目的：深入理解包过滤防火墙的工作原理二、实验内容：练习使用PacketTracer模拟软件配置ACL三、实验要求A.拓扑结构如下图所示，1,2,3是主机，4是服务器1、配置主机，服务器与路由器的IP地址，使网络联通；2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL；B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)１、配置ACL限制远程登录（telnet）到路由器的主机。路由器R0只允许192.168.2.2远程登录(telnet)。2、配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段。3、配置ACL禁止特点的协议端口通讯。禁止192.168.2.2使用www(80)端口访问192.168.1.0禁止192.168.2.3使用dns(53)端口访问192.168.1.03、验证ACL规则,检验并查看ACL。四、实验步骤1、配置主机，服务器与路由器的IP地址，使网络联通；PC0pingPC2PC1ping服务器服务器pingPC02、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#access-list1deny192.168.1.2Router(config)#access-list1permitanyRouter(config)#intf0/1Router(config-if)#ipaccess-group1outRouter(config-if)#exitRouter(config)#exitpc1pingpc2和服务器pc0pingpc2和服务器,可以ping通删除该条ACLRouter>enRouter#showaccess-listStandardIPaccesslist1denyhost192.168.1.2(8match(es))permitany(8match(es))Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#ipaccess-liststandardsoftRouter(config-std-nacl)#noaccess-list1Router(config)#exitRouter#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter#showaccess-listStandardIPaccesslistsoftPC1重新pingPC2和服务器，可以ping通3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL；更改前更改aclRouter>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#access-list101denytcp192.168.1.2255.255.255.0192.168.2.2255.255.255.0eq80Router(config)#access-list101permitipanyanyRouter(config)#intf0/1Router(config-if)#ipaccess-group101outPc1不能访问服务器的www服务pc0可以Pc1可以ping通服务器删除ACLRouter#showaccess-listStandardIPaccesslistsoftExtendedIPaccesslist101denytcp0.0.0.2255.255.255.00.0.0.2255.255.255.0eqwww(65match(es))permitipanyany(9match(es))Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#ipaccess-listextended101Router(config-ext-nacl)#noaccess-list101Router(config)#exitPc1又可以成功访问服务器的www服务。实验BDNS服务器配置实验B基础配置各个主机ping通服务器192.168.1.2；１、配置ACL限制远程登录（telnet）到路由器的主机。路由器R0只允许192.168.2.2远程登录(telnet)。gaozhuang-R0>enPassword:gaozhuang-R0#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.gaozhuang-R0(config)#access-list1permithost192.168.2.2gaozhuang-R0(config)#linevty04gaozhuang-R0(config-line)#access-class1ingaozhuang-R0(config-line)#2、配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段。gaozhuang-R2>engaozhuang-R2#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.gaozhuang-R2(config)#access-list101denyicmp192.168.3.00.0.0.255192.168.1.00.0.0.255gaozhuang-R2(config)#access-list101permitipanyanygaozhuang-R2(config)#intf0/0gaozhuang-R2(config-if)#ipaccess-group101outgaozhuang-R2(config-if)#gaozhuang-R2#网段192.168.3.0的ICMP包不能访问网段192.168.1.0，但可以访问192.168.1.1：3、配置ACL禁止特点的协议端口通讯。禁止192.168.2.2使用www(80)端口访问192.168.1.0禁止192.168.2.3使用dns(53)端口访问192.168.1.0gaozhuang-R0>enPassword:gaozhuang-R0#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.gaozhuang-R0(config)#ipaccess-listextendedACL2gaozhuang-R0(config-ext-nacl)#denytcphost192.168.2.2192.168.1.00.0.0.255eq80gaozhuang-R0(config-ext-nacl)#denyudphost192.168.2.3192.168.1.00.0.0.255eq53gaozhuang-R0(config-ext-nacl)#permitipanyanygaozhuang-R0(config-ext-nacl)#exitgaozhuang-R0(config)#intf0/0gaozhuang-R0(config-if)#ipaccess-groupac12ingaozhuang-R0(config-if)#exgaozhuang-R0(config)#之前之后PC13、验证ACL规则,检验并查看ACL。gaozhuang-R0#showaccess-listStandardIPaccesslist1permithost192.168.2.2(2match(es))ExtendedIPaccesslistACL2denytcphost192.168.2.2192.168.1.00.0.0.255eqwww(321match(es))denyudphost192.168.2.3192.168.1.00.0.0.255eqdomainpermitipanyany(16match(es))gaozhuang-R0#showipaccess-listacl2gaozhuang-R0#showipaccess-listACL2ExtendedIPaccesslistACL2denytcphost192.168.2.2192.168.1.00.0.0.255eqwww(321match(es))denyudphost192.168.2.3192.168.1.00.0.0.255eqdomainpermitipanyany(16match(es))查看路由2ACL协议',)