三年级阅读

实验三、扩展访问列表（4课时）

班级： 网工三班 学号： 14210220332 姓名：刘彩欣

一、 实验目的

1、复习和巩固静态路由知识

2、学习和验证访问控制列表对于IP数据包的协议类型及端口的控制情况 3、学习中小型企业进行网络行为控制的思路与大致方法 二、实验情景描述

Finance网络172.26.12.1/22，product网络172.26.8.1/22，Management网络为172.16.0.1/29，使用2台路由器使用直连路由与静态路由连接这三个网络，静态路由R1配置必须用路由总结

验证ACL做访问策略对于HTTP，FTP及ICMP协议的控制。 总结extended ACL设计并实施的要点 三、实验原理

1、静态路由：静态路由是在拓扑结构简单的网络中，网管员通过手工的方式配置本路由器未知网段 的路由信息，从而实现不同网段之间的链接。

2、扩展访问控制列表：应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。针对源地址、目的地址、协议类型、端口进行过滤。

3、扩展访问控制列表：扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。实施原则是需要放在距离控制源尽可能近的地方。

四、实验准备

1、实验仪器及设备

3台交换机；2台路由器；4台服务器；3台电脑。 2、教材 ：《路由和交换基础》 3、数据

10.10.10.1/30 255.255.255.252

路由器R1:int s0/0 10.10.10.2 int f0/0 172.16.0.9

路由器R2：int s0/0 10.10.10.1 int f0/0 172.26.8.1 int f0/1 172.16.12.1 Finance:172.26.12.1/22 255.255.252.0 电脑Laptop0 172.26.12.100 服务器ESA 172.26.12.12 服务器Server0 172.26.15.15

Product:172.26.8.1/22 255.255.252.0 电脑PC0 172.26.8.100 电脑PC1 172.26.8.2

Management：172.16.0.1/29 255.255.255.248 服务器Web 172.16.0.10 服务器FTP 172.16.0.11

五、实验内容与步骤

1、连接线缆 实现网络拓扑 2、配置IP地址，实现直连路由 3、配置静态路由，实现网络互连

4、配置并实施扩展访问列表，实现对http，ftp的访问控制 六、注意事项

1、路由汇聚

2、扩展访问控制列表的实施原则 3、扩展访问控制列表的放置地点 七、实验报告 实验心得：

该实验验证了实施原则是需要放在距离控制源尽可能近的地方。我了解到相关的指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。我学习到，扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。这个实验使我复习和巩固了静态路由的相关知识，我学习、验证了访问控制列表对于IP数据包的协议类型及端口的控制情况，了解中小型企业进行网络行为控制的思路与大致方法，这对我对未来的网络知识学习与实践奠定了坚实的基础。

实验结果截图： 路由器show ip route R2的：

R1的：

路由器 show ip access-list 100