计算机网络实验-访问控制列表
一、实验目的
1.理解访问控制列表的含义
2.初步掌握访问控制列表的配置和应用
二、实验环境
Cisco Packet Tracer模拟。
三、实验内容
1.标准ACL实验
(1)布置拓扑
拓扑图如图所示,Company是公司出口路由器,用单臂路由连接了3个子网, VLAN 30里有一台公司内部服务器,只允许公司内部访问。VLAN 10是内部员工子网,不允许访问外部网络。VLAN 20是管理人员子网,允许访问外网。IP地址设计如表所示。
(2)配置路由
使用RIP协议配置路由
(3)配置ACL并验证效果
- 为满足要求,此处设计两个ACL,分别应用在两个端口上
- 在没有应用ACL之前,员工子网可以访问外面的IP。
- 应用ACL之后,显示目的主机不可达信息。
- 从外面访问公司内部服务器,在ACL的作用下,无法ping通
2.扩展ACL实验
(1)布置拓扑
如图所示,实验允许管理人员子网(VLAN 20)不能访问外部Server1的WWW站点,但可以访问其他WWW站点。员工子网(VLAN 10)不可以访问外面的网络。
(2)配置ACL并验证效果
- 管理人员无法访问Server1上的WWW站点,与ACL 101(access-list 101的简称)第1条规则匹配,被否定。
- 管理人员可以访问Server2上的WWW站点,与ACL 101第2条规则匹配,被通过。
- 管理人员尽管无法访问Server1上的WWW站点,但却可以ping通Server1。
- 管理人员尽管无法访问Server1上的WWW站点,但却可以ping通Server1。
- 员工区ping Server2不通,但可以访问内部。
四、实验结果及分析
1.标准ACL实验
(1)布置拓扑
1)拓扑图
2)配置PC,以PC0为例
3)配置Server,以Server0为例
(2)配置路由
1)交换机Switch1
2)路由器Company
3)路由器Internet
(3)配置ACL并验证效果
1)路由器Company配置
2)没有应用ACL之前,员工子网可以访问外面的IP
3)应用ACL之后显示目的主机不可达信息
4)从外面访问公司内部服务器,在ACL作用下,无法ping通
2.拓展ACL实验步骤
(1)设置拓扑
(2)配置ACL并验证效果
1)路由器Company配置
2)管理人员无法访问Server1上的WWW站点,与ACL101第1条规则匹配,被否定
3)管理人员可以访问Server2上的WWW站点,与ACL101第2条规则匹配,被通过
4)尽管管理人员无法访问Server1上的WWW站点,但ACL101与第4条规则匹配,可以ping通Server1
5)员工区ping Server2不同,但可以内部访问,因为ACL应用在Company的Fa0/1接口上
