2022年访问控制列表配置实验报告 .pdf

实验 四访问控制列表（ ACL ）配置1、实验目的 ：（1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。（2）思科交换机的基本ACL 配置2、实验环境：利用 Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型） 、一台路由器（ Cisco2621 型）以及三台PC进行互连。通过Boson Netsim 软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1 所示。3、实验内容 ：(1 ） 使用 Boson Network Designer软件绘制路由器互连的网络拓扑图。（2） 运行 Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP 地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交换机和路由器的机器名、控制台密码、 进入配置模式口令、远程登录口令、各端口的参数） 。（3）在路由器上定义一个扩展访问控制列表，抑制某台PC的 ICMP数据流通往其它任意的一条网段。将该列表应用于路由器的相应端口。然后，进行相应的Ping 测试。（4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC 机访问另一条网段的PC机。将该列表应用于路由器的相应端口，最后进行相应的Ping 测试。2.3 实验步骤（1）运行 Boson Network Designer 软件，按照图2-1 所示绘制配置拓扑图，保存在相应的目录下。（2）运行 Boson Netsim 软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1 的 IP地址为192.168.1.3 ，子网掩码为：255.255.255.0，网关为： 192.168.1.1，如下图 2-2 所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - 其他 PC机的配置方法类似，配置如下：PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1 PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1 PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1 PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1 PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1 （3）进入第一台思科1912 交换机的CLI 界面，做如下配置：enable #conf t Enter configuration commands, one per line. End with CNTL/Z. (config)#hostname csi1912sw1 csi1912sw1(config)#enable secret level 15 cisco csi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0 csi1912sw1(config)#ip default-gateway 192.168.1.1 csi1912sw1(config)#exi 进入思科交换机1912 的全局配置界面，将其主机名配置为cis 1912sw1,登录密码设置为 cisco,其管理 IP 地址为 192.168.1.2，子网掩码配置为255.255.255.0，默认网关与其他PC机一样，为192.168.1.1 ，最后退出全局配置界面。（4）进入第二台思科1912 交换机的CLI 界面，做如下配置：enable 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 6 页 - - - - - - - - - #conf t Enter configuration commands, one per line. End with CNTL/Z. (config)#hostname cis1912sw2 cis1912sw2(config)#enable secret level 15 cisco cis1912sw2(config)#ip addr 192.168.2.2 255.255.255.0 cis1912sw2(config)#ip default-gateway 192.168.2.1 cis1912sw2(config)#exi （5）进入第三台思科1912 交换机的CLI 界面，做如下配置：enable #conf t Enter configuration commands, one per line. End with CNTL/Z. (config)#hostname cis1912sw3 cis1912sw3(config)#enable secret level 15 cisco cis1912sw3(config)#ip addr 192.168.3.2 255.255.255.0 cis1912sw3(config)#ip default-gateway 192.168.3.1 cis1912sw3(config)#exi （5）进入第四台思科1912 交换机的CLI 界面，做如下配置：enable #conf t Enter configuration commands, one per line. End with CNTL/Z. (config)#hostname cis1912sw4 cis1912sw4(config)#enable secret level 15 cisco cis1912sw4(config)#ip addr 192.168.4.2 255.255.255.0 cis1912sw4(config)#ip default-gateway 192.168.4.1 cis1912sw4(config)#exi （6）进入第一台Cisco2621 的配置的 CLI 界面，做如下配置：Routeren Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname cis2621sw1 cis2621sw1(config)#enable secret cisco cis2621sw1(config)#line console 0 cis2621sw1(config-line)#password cisco cis2621sw1(config-line)#login cis2621sw1(config-line)#exi cis2621sw1(config)#int f0/0 cis2621sw1(config-if)#ip add 192.168.1.1 255.255.255.0 cis2621sw1(config-if)#no shut %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up cis2621sw1(config-if)#exit cis2621sw1(config)#int f0/1 cis2621sw1(config-if)#ip add 192.168.2.1 255.255.255.0 cis2621sw1(config-if)#no shut %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 6 页 - - - - - - - - - cis2621sw1(config-if)# cis2621sw1(config-if)#exit 首先进入第一台路由器Cisco2621 的全局配置模式后，给路由器命名为Cisco2621sw1,并设置登录的加密的密码为cisco 、进入控制台的密码为cisco ，进入 F0/0 端口配置模式，将 F0/0 的 IP 地址和子网掩码为192.168.1.1/255.255.255.0,并将 F0/0 激活， 然后进入 F0/1端口配置模式， 将 F0/1 的 IP 地址和子网掩码为192.168.2.1/255.255.255.0,并将 F0/1 激活。（7）进入第二台Cisco2621 的配置的 CLI 界面，做如下配置：Routeren Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname cis2621sw2 cis2621sw2(config)#enable secret cisco cis2621sw2(config)#line console 0 cis2621sw2(config-line)#password cisco cis2621sw2(config-line)#login cis2621sw2(config-line)#exit cis2621sw2(config)#int f0/0 cis2621sw2(config-if)#ip add 192.168.3.1 255.255.255.0 cis2621sw2(config-if)#no shut %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up cis2621sw2(config-if)#exit cis2621sw2(config)#int f0/1 cis2621sw2(config-if)#ip add 192.168.4.1 255.255.255.0 cis2621sw2(config-if)#no shut %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up cis2621sw2(config-if)#exit 首先进入第二台路由器Cisco2621 的全局配置模式后，给路由器命名为Cisco2621sw2,并设置登录的加密的密码为cisco 、进入控制台的密码为cisco ，进入 F0/0 端口配置模式，将 F0/0 的 IP 地址和子网掩码为192.168.3.1/255.255.255.0,并将 F0/0 激活， 然后进入 F0/1端口配置模式， 将 F0/1 的 IP 地址和子网掩码为192.168.4.1/255.255.255.0,并将 F0/1 激活。（8）当未建立编号为101 的扩展访问控制列表，在PC1 上用ping命令检查与PC3（192.168.2.3）连通性，结果发现连通正常C:ping 192.168.2.3 Pinging 192.168.2.3 with 32 bytes of data: Reply from 192.168.2.3: bytes=32 time=60ms TTL=241 Reply from 192.168.2.3: bytes=32 time=60ms TTL=241 Reply from 192.168.2.3: bytes=32 time=60ms TTL=241 Reply from 192.168.2.3: bytes=32 time=60ms TTL=241 Reply from 192.168.2.3: bytes=32 time=60ms TTL=241 Ping statistics for 192.168.2.3: Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 6 页 - - - - - - - - - Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms 经实验其他机子连通也正常。cis2621sw2(config)#access 101 deny 192.168.1.0 0.0.0.255 cis2621sw2(config)#access 101 permit any cis2621sw2(config)# cis2621sw2(config)#int f0/1 cis2621sw2(config-if)#ip access 2 out cis2621sw2(config-if)#exi 在路由器的全局配置模式下，定义一个编号为101 的扩展访问控制列表，抑制PC1（192.168.1.3）与 PC2 （192.168.1.4）所属网段（ 192.168.1.0）的数据流进入其他网段，并将编号为2 的标准访问控制列表应用于的F0/1 口的出口方向。（9）当建立编号为101 的扩展访问控制列表后，在PC1或者 PC2上用 ping 命令检查与PC3（192.168.2.3）连通性，结果发现此线路不通，数据包被拒绝。C:ping 192.168.2.3 Pinging 192.168.2.3 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 192.168.2.3: Packets: Sent = 5, Received = 0, Lost = 5 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 而 PC3 对 PC1 和 2 的线路通C:ping 192.168.1.3 Pinging 192.168.1.3 with 32 bytes of data: Reply from 192.168.1.3: bytes=32 time=60ms TTL=241 Reply from 192.168.1.3: bytes=32 time=60ms TTL=241 Reply from 192.168.1.3: bytes=32 time=60ms TTL=241 Reply from 192.168.1.3: bytes=32 time=60ms TTL=241 Reply from 192.168.1.3: bytes=32 time=60ms TTL=241 Ping statistics for 192.168.1.3: Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), （10）执行 show access 命令，可以查看我们所建立的编号为2 的标准访问控制列表的内容，并看到符合该访问列表语句条件并且被语句处理的数据包的数量（其中抑制有5 个，允许数有 0 个）cis2621sw2#show access 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 6 页 - - - - - - - - - Standard IP access list 2 2 deny 192.168.3.0 0.0.0.255 (5 matches) 2 permit any (0 matches) cis2621sw2#show ip int f0/1 FastEthernet0/1 is up, line protocol is up Internet address is 192.168.4.1/24 Broadcast address is 255.255.255.0 MTU 1500 bytes, Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 2 Inbound access list is not set Proxy ARP Is Enabled Security Level Is Default Split horizon Is Enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Null turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled router Discovery Is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -