实验6- ACL原理与操作.doc

长沙学院教案 编 号：2010-txw- lyjh-6 课时安排： 3 学时 教学课型：理论课□ 实验课 习题课□ 实践课□ 其它□ 题目（教学章、节或主题）： 实验六 ACL原理与操作 教学目的要求（包括知识与能力两个方面）： 通过本实验，学生可以掌握如下技能： ACL设计原则和工作过程； 定义标准ACL； 应用ACL； 标准ACL调试。 教学重点、难点： 应用ACL是重点，标准ACL调试是难点。 教学方式、手段、媒介： 分组实验 教学过程：（含引入新课、中间组织教学以及如何启发思维等） 一、实验拓扑 图6-1 ACL原理与操作实验拓扑 本实验拒绝PC2所在网段访问路由器R2，同时只允许主机PC3访问路由器R2的Telnet服务。整个网络配置EIGRP保证IP的连通性。 二、实验步骤 （1）步骤1：配置路由器R1 R1(config)#router eigrp 1 R1(config-router)#network 0.0.0. 255 R1(config-router)#network 55 R1(config-router)#network R1(config-router)#no auto-summary （2）步骤2：配置路由器R2 R2(config)#router eigrp 1 R2(config-router)#network 0.0.0. 255 R2(config-router)#network R2(config-router)#network R2(config-router)#no auto-summary R2(config)#access-list 1 deny 55 //定义ACL R2(config)#access-list 1 permit any R2(config)#interface Serial0/0/0 R2(config-if)#ip access-group 1 in //在接口下应用ACL R2(config)#access-list 2 permit R2(config-if)#line vty 0 4 R2(config-line)#access-class 2 in R2(config-line)#password cisco R2(config-line)#login （3）步骤3：配置路由器R3 R3(config)#router eigrp 1 R3(config-router)#network 55 R3(config-router)#network R3(config-router)#no auto-summary 【技术要点】 ACL定义好后可以在很多地方应用，接口上应用只是其中之一，其他的常用应用包括在route map中的match应用（第21章介绍）和在vty下用”access-class”命令调用，用来控制Telnet的访问； 访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序； 路由器不对自身产生的IP数据包进行过滤； 访问控制列表最后一条是隐含的拒绝所有； 每一个路由器接口的每一个方向，每一种协议只能创建一个ACL； “access-class”命令只对标准ACL有效。 4.实验调试 在PC1网络所在的主机上ping ，应该通，在PC2网络所在的主机上ping ，应该不通，在主机PC3上Telnet ，应该成功。 （1）show iop access-lists 该命令用来查看所定义的IP访问控制列表 R2#show ip access-lists Standard IP access list 1 10 deny ，wildcard bits 55(11 matches) 20 permit any (405 matches) Standard IP access list 2 10 permit （2 matches） 以上输出表明路由器R2上定义的标准访问控制列表为”1”和”2”，括号中的数字表示匹配条件的数据包的个数，可以用”clear access-list counters”命令将访问控制列表计数器清零。 （2）show iop interface R2#show ip interface s0/0/0 Serial0/0/0 is up ，line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MT