访问控制列表实验报告.doc

实 训 报 告 实验名称 访问控制列表 课程名称 计算机网络 1.实验目的 掌握访问控制列表的概念。 能对路由器进行访问控制列表的设置。 2.实验环境 （1）微机4台，2811的路由器2台，2950的交换机4台，双绞线4条，串行线一条。 （2）在计算机上安装有windows xp 的操作系统，并且安装有Cisco Packet Tracer软件。 3.实训规划和拓扑图规划： 4、实验要求： 要求：a、Lan 1 不能访问 lan 2 . b、Lan 1 能访问 lan 3 不能访问lan 4. c、Lan 2能访问 lan 4 不能访问lan 3. 5、实验步骤： （1）按照规划，构建拓扑图。（标注好各个接口，和ip地址） （2）按照规划配置好路由器的各个接口的ip地址，并且配置好路由协议，这里用的rip 2. 通过show ip route是否学到全网的路由。 R1结果如下： R2结果如下： （3）配置访问控制列表： 针对要求：Lan 1 不能访问 lan 2 (以R1的接口f0/1为参照) 在R1：access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R1的接口f0/1: ip access-group 1 out 针对要求：Lan 1 能访问 lan 3 不能访问lan 4(以R2的接口f0/1为参照) 在R2 :access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R2.f0/1 ip access-group out 针对要求：Lan 2能访问 lan 4 不能访问lan 3(以R2的接口f0/0为参照) 在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255 aceess-list 2 permit any R2.f0/0:ip access-group 2 out 6、实验结果： （1）针对要求：Lan 1 不能访问 lan 2. 测试有以下结果： pc1 ping pc2不通，符合要求1，如下图所示。 Pc2 ping pc1如下图： Pc1上路由跟踪pc2: （2）针对要求：Lan 1 能访问 lan 3 不能访问lan 4 Pc1 ping pc3:结果如下 Pc1 ping pc4结果如下： Pc1 路由跟踪 pc4:tracert 50.0.0.2 (3)针对要求：Lan 2能访问 lan 4 不能访问lan 3 Pc2 ping pc4: Pc2 ping pc3: Pc2 路由跟踪 pc3： 4.实验分析 （1）要求Lan 1 不能互相访问 lan 2 (以接口R1的接口f0/1为参照) 以R1的接口f0/1为参照，（一般在实际情况，在自己的路由器上防止别个进入，进行设置，跑到别个的路由器上设置不现实） 不允许源地址为lan1的网络（20.0.0.0/24）从接口f0/1 出。 允许原地址为的其它任何网络（包括如30.0.0.0/24）通过出。 所以在R1上有以下语句： access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R1的接口f0/1: ip access-group 1 out 从 ping和路由跟踪的结果来看，数据分组只到达20.0.0.1就停止了。符合要求。 （2）针对要求：Lan 1 能访问 lan 3 不能访问lan 4 以R2的接口f0/1为参照， 拒绝源地址网络为lan 1(20.0.0.0/24) 数据分组通过路由器R2的接口f0/1出。 允许原地址为其它网络的数据分组从路由器R2的接口f0/1出。 语句如下： R2 :access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R2.f0/1 ip access-group out 从pc1 ping pc4和路由跟踪的结果来看，数据分组经过20.0.0.1，到达60.0.0.2就停止了，没有到达50.0.0.1。符合要求。 （3）针对要求：Lan 2能访问 lan 4 不能访问lan 3 以R2的接口f0/0为参照， 拒绝原地址网络为lan