计科13-2 第五组 实验12 扩展ACL配置.docx

宁波工程学院电子与信息工程学院 计算机网络实验 实验报告 实验名称： 班 级 ： 实验地点：  计科 132 逸夫楼 实验 12 扩展ACL 配置组 别： 日 期：  5 5.6 一、实验目的： 理解扩展访问控制列表ACL 的特点与作用 掌握扩展ACL 的规划与配置 掌握扩展ACL 功能的检查与测试方法二、基本技能实验内容、要求和环境： 地址表 接口IP 接口 IP 地址 子网掩码 默认网关 Fa0/0 192.168.10.1 255.255.255.0 Fa0/1 192.168.11.1 255.255.255.0 S2/0 10.1.1.1 255.255.255.252 Fa0/1 192.168.20.1 255.255.255.0 S2/0 10.1.1.2 255.255.255.252 S3/0 10.2.2.1 255.255.255.252 R1 R2 R3 S2/0 10.2.2.2 255.255.255.252 S1 Vlan1 192.168.10.2 255.255.255.0 192.168.10.1 S2 Vlan1 192.168.11.2 255.255.255.0 192.168.11.1 S3 Vlan1 192.168.30.2 255.255.255.0 192.168.30.1 PC1 网卡 192.168.10.10 255.255.255.0 192.168.10.1 PC2 网卡 192.168.11.10 255.255.255.0 192.168.11.1 PC3 网卡 192.168.30.10 255.255.255.0 192.168.30.1 Web Server 网卡 192.168.20.254 255.255.255.0 192.168.20.1 Fa0/1192.168.30.1255.255.255.0任务 Fa0/1 192.168.30.1 255.255.255.0 步骤 1：根据拓扑图所示完成网络电缆连接。步骤 2：清除路由器的所有配置。 任务 2：执行基本的路由器配置 根据以下说明配置 R1、R2 和 R3 路由器以及 S1、S2 和 S3 交换机： 依照拓扑图配置路由器主机名。 在所有设备上配置 IP 地址和掩码。 在所有路由器上启用所有网络的 OSPF 区域 0。 在 R2 上配置环回接口来模拟 ISP。 在每台交换机上配置 VLAN 1 接口的 IP 地址。 使用相应的默认网关配置每台交换机。 使用 ping 命令检验 IP 是否完全连通。 任务 3：配置扩展 ACL 需要更高的精度时，应该使用扩展 ACL。扩展 ACL 过滤流量的依据不仅仅限于源地址。扩展 ACL 可以根据协议、源 IP 地址和目的 IP 地址以及源端口号和目的端口号过滤流量。 此网络的一条策略规定，只允许 192.168.10.0/24 LAN 中的设备访问内部网络，而不允许此 LAN 中的计算机访问 Internet。因此，必须阻止这些用户访问 IP 地址 209.165.200.225。由于此要求的实施涉及源地址和目的地址， 因此需要使用扩展 ACL。 本任务需要在R1 上配置扩展 ACL，阻止 192.168.10.0/24 网络中任何设备发出的流量访问209.165.200.255 主机 （模拟的 ISP）。此 ACL 将应用于 R1 Serial 2/0 接口的出站流量。一般而言，最好将扩展 ACL 应用于尽量靠近源地址的位置。 开始之前，请确认从 PC1 可以 ping 通 209.165.200.225。 步骤 1：配置命名扩展 ACL。 在全局配置模式下，创建名为 EXTEND-1 的命名扩展 ACL。R1(config)#ip access-list extended EXTEND-1 请注意，路由器提示符会改变，表示现在处于扩展 ACL 配置模式下。在此提示符后添加必要的语句，阻止从 192.168.10.0/24 到该主机的流量。定义目的地址时要使用关键字 host。 R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 前面讲过，如果没有 permit 语句，隐式 “deny all语”句会阻止所有其它流量。因此，应添加 permit 语句，确保其它流量不会受到阻止。 R1(config-ext-nacl)#permit ip any any 步骤 2：应用 ACL。 而扩展 ACL 则通常应用于靠近源地址的位置。EXTEND-1 ACL 将应用于串行接口并过滤出站流量。 R1(config)#interface serial 2/0 R