一、实验目的
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
二、实验仪器设备或材料
华为eNSP模拟器
三、实验原理
ACL可以允许或拒绝相应的访问规则。
四、实验内容与步骤
ACL的分类
基本ACL(2000~2999):只能匹配源IP地址
高级ACL(3000~3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段
二层ACL(4000~4999):根据数据包的源MAC地址、目标MAC地址、802.1p优先级、二层协议类型等二层信息指定规则(一般用不到,了解仅可)
应用原则:
- 基本ACL尽量用在靠近目的点
- 高级ACL尽量用在靠近源的地方(可以保护带宽和其他资源)
五、实验结果与分析
1.本实验的拓扑图结构如图1所示。
2.进入AR1的端口,合理设置IP地址,命令如图2所示。
3.设置基本acl,允许192.168.1.1的计算机访问,命令如图3所示
4.进入g0/0/2口,应用基本acl规则,并设置高级acl,拒绝192.168.1.0网段的设备访问192.168.3.1的服务器,命令如图4所示。
5.进入g0/0/2口,应用高级acl规则,并设置编号为3001的高级acl,允许客户端访问服务器的web服务,并进入g0/0/0口应用此条acl,结果如图5所示。
6.进行验证:在Client1上访问192.168.3.1的web服务,可以成功访问,如图6所示。
7.在PC1上尝试访问服务器,发现无法访问,结果如图7所示。
