路由技術

.

資料

信息工程學院

路由與交換技術課程設計報告

題目：訪問控制ACL在企業內的應用

專業：信息管理與信息系統班級：10級

姓名：xxx學號：xxxxxxxxxx

完成時間：20123年7月3日

.

資料

指導教師：xxx

.

資料

一、選題目的和意義

選題的目的：

ACL技術在路由器中被廣泛采用，它是一種基于包過濾的流控制技

術。標準訪問控制列表通過把源地址、目的地址及端口號作為數據包檢

查的基本元素，并可以規定符合條件的數據包是否允許通過。ACL通常

應用在企業的出口控制上，可以通過實施ACL，可以有效的部署企業網

絡出網策略。隨著局域網內部網絡資源的增加，一些企業已經開始使用

ACL來控制對局域網內部資源的訪問能力，進而來保障這些資源的安全

性。

ACL技術可以有效的在三層上控制網絡用戶對網絡資源的訪問，它

可以具體到兩臺網絡設備間的網絡應用，也可以按照網段進行大范圍的

訪問控制管理，為網絡應用提供了一個有效的安全手段。

一方面，采用ACL技術，網絡管理員需要明確每一臺主機及

工作站所在的IP子網并確認它們之間的訪問關系，適用于網絡終端數

量有限的網絡。對于大型網絡，為了完成某些訪問控制甚至不得不浪費

很多的IP地址資源。同時，巨大的網絡終端數量，同樣會增加管理的

復雜度和難度。另一方面，維護ACL不僅耗時，而且在較大程度上增

加路由器開銷。訪問控制列表的策略性非常強，并且牽涉到網絡的整體

規劃，它的使用對于策略制定及網絡規劃的人員的技術素質要求比較

高。因此，是否采用ACL技術及在多大的程度上利用它，是管理效益

與網絡安全之間的一個權衡。

訪問控制列表（AccessControlList，ACL）是路由器和交換機接口的

指令列表，用來控制端口進出的數據包。

ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。這張表

中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了

對某種訪問進行控制。ACL可以限制網絡流量、提高網絡性能；ACL可

以提供對通信流量的控制手段；ACL是提供網絡安全訪問的基本手段；ACL

可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。

目前有兩種主要的ACL:標準ACL和擴展ACL。標準的ACL使用

1~99以及1300~1999之間的數字作為表號，擴展的ACL使用100~

199以及2000~2699之間的數字作為表號。

標準ACL可以阻止來自某一網絡的所有通信流量，或者允許來自某

.

資料

一特定網絡的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信

流量。

擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網絡管理員

如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和

Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL

不能控制這么精確。

路由器工作在網絡層，是信息出入的必經之路，能有效的防止外部用戶對局

域網的安全訪問。同時可以限制網絡流量，也可以限制局域網內的用戶或設備使

用網絡資源。因此，網絡路由過濾對網絡的安全具有舉足輕重的作用。

目前大部分的路由器都是通過訪問控制列表技術來允許或拒絕報文通過。當

路由器的訪問控制列表的安全特性被充分利用時，路由器將變成一個有效的、穩

定的、安全的、堅固的防御體系，既能抵御外部的攻擊，又能限制內部用戶對

外部的非法訪問，在很大程度上提高了網絡的安全性。因此，可以說訪問控制列

表是網絡防御外來攻擊的第一道關卡。

本文以某企業真實拓撲圖為例，討論如何利用路由器的訪問控制列表技術提

高網絡的安全性。

2訪問控制列表(ACL)

訪問控制列表是應用在路由器接口的指令列表，這些指令列表用來告訴路由

器哪些數據包可以接收，哪些數據包需要拒絕。至于數據包是被接收還是被拒絕，

可以由類似于源地址、目的地址、端VI號、協議等特定指示條件來決定。通過靈

活地增加訪問控制列表，ACL可以當作一種網絡控制的有力工具，用來過濾流入

和流出路由器接口的數據包。

選題的意義：

本次實驗主要通過理解上述ACL的意義及功能，通過自己配置ACL來實現

對任意網段的數據的阻塞和對任意網段的ping服務進行阻塞，以達到學會ACL

基本配置，理解ACL的功能及實現為目的。本文以某企業真實拓撲圖為例，討

論如何利用路由器的訪問控制列表技術提高網絡的安全性。

訪問控制列表的作用：

各種數據在其上快速通過，今天的網絡就好比一條復雜的高速公路，各

種數據在其上快速通過，為了正確的規劃流量，保證網絡的暢通，安全。

為了正確的規劃流量，保證網絡的暢通，安全。我們就要設一些禁行標志、

規定單行線等等，標志、規定單行線等等，這就是網絡上的ACL其實在網絡

.

資料

上有很多種方法可以實現以上的作用，其實在網絡上有很多種方法可以實現以

上的作用，但是最簡單易行的還是訪問控制列表。還是訪問控制列表。

訪問控制列表：就是用來在使用路由技術的網絡里，識別和過濾那些由某

些網絡發出的或者被發送出去到某些網絡的符合我們所規定條件的數據流量，

符合我們所規定條件的數據流量，以決定這些數據流量是應該轉發還是應該丟

棄的技術。該轉發還是應該丟棄的技術。

由于以上的定義我們可以看出，在路由器上實現ACL就是一種實現防火

墻的手段。ACL的應用放置在路由器的接口上，預先把建好的ACL放置在路

由器的接口上，對接口上進方向或者出方向的數據包進行過濾，但是訪問控制

列表只能過濾經過路者出方向的數據包進行過濾，路由器的數據包，路由器的

數據包，不能過濾其本身產生的數據包。不能過濾其本身產生的數據包。

.

資料

二、主要研究內容

本次實驗設計在ciscopackettracer這款虛擬配置電腦平臺的軟件上操作

的。

要求用1841路由器，2950-24交換機，以及6臺PC機，連接3個網絡

192.168.10.0/24，192.168.1.0/30，192.168.11.0/24;

本文以某企業真實拓撲圖為例，討論如何利用路由器的訪問控制列表技術提

高網絡的安全性。

本次實驗LAN_B只允許LAN_A的訪問，拒絕其他網段的數據。

ACL的配置可分為兩個步驟：

(1)在全局配置模式下，使用下列命令創建ACL

Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}

其中access-list-number為ACL的序列號。人們使用較頻繁的序列號是

標準的IPACL(1-99)和擴展的IPACL(100-199).

注意，在路由器中，如果使用ACL的序列號進行配置，則列表不能插入

或刪除行（動態編輯）。如果列表要插入或刪除一行，必須先去掉ACL，然后

重新配置。

(2)在接口模式下，使用access-group命令將第一步中創建的ACL應用

到某一接口上。

(3)Router(config-if)#ipaccess-groupaccess-list-number{in/out}

其中，in和out參數可以控制接口中不同方向的數據包，ACL在一個接

口可以進行雙向控制即配置兩條命令，一條in，一條out，但是在一個接口

的一個方向上，只能有一個ACL控制。

注意，把定義好的ACL應用在網絡的什么地方，是能否實現原有的目的

和有效地減少不必要的通信流量的關鍵。通常情況下標準的ACL要盡量靠近

目的端；擴展的ACL要盡量靠近源端。當然這不是絕對的，具體放在哪個位

置，要根據具體的情況分析。

ACL技術可以有效的在三層上控制網絡用戶對網絡資源的訪問，它可

以具體到兩臺網絡設備間的網絡應用，也可以按照網段進行大范圍的訪問

控制管理，為網絡應用提供了一個有效的安全手段。

.

資料

三、方案設計（小四號黑體，段前3磅，段后1磅，行間距20磅）

本次實驗設計在ciscopackettracer這款虛擬配置電腦平臺的軟件上操作

的。

要求用1841路由器，2950-24交換機，以及6臺PC機，連接3個網絡

192.168.10.0/24，192.168.1.0/30，192.168.11.0/24;

本次實驗LAN_B只允許LAN_A的訪問，拒絕其他網段的數據。

1)某企業真實拓撲圖如下：

圖1-1

.

資料

2)IP地址規劃：

網絡PC機或端口IP地址子網掩碼

1

PC_A192.168.10.1/24255.255.255.0

PC_B192.168.10.2/24

PC_E192.168.10.3/24

2S0/0/0(Router0)192.168.1.1/30255.255.255.252

S0/0/0(Router1)192.168.1.2/30

3

PC_C192.168.11.1/24255.255.255.0

PC_D192.168.11.2/24

PC_F192.168.11.3/24

表1-1

3)關鍵技術及實現原理

ACL信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需

求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪

問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL（訪問

控制列表）可以過濾網絡中的流量，控制訪問的一種網絡技術手段。實際上，

ACL的本質就是用于描述一個IP數據包、以太網數據幀若干特征的集合。然

.

資料

后根據這些集合去匹配網絡中的流量（由大量數據包組成），同時根據策略來

“允許”或者“禁止”。

作用：①ACL可以限制網絡流量、提高網絡性能。

②ACL提供對通信流量的控制手段。

③ACL是提供網絡安全訪問的基本手段。

④ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。

ACL的分類（基于IP）

①標準ACL標準型ACL只能匹配源IP地址，在應用中有三種匹配的方

式：1、any，指任意地址

2、，指定某個IP網段

3、src_range，指定IP的地址范圍配置命令：ipaccess-liststandard

//標準ACL，name為名字{permit|deny}any{permit|deny}

{permit|deny}src_range

②擴展型ACL擴展型ACL可匹配多個條目，常用的項目有源、目的IP，

源、目的端口號，以及ip協議號（種類）等，可以用來滿足絕大多數的應用。

在一個條件中，這些項目的前后順序如下：協議號，源ip地址，源端口號，

目的ip地址，目的端口號。配置命令：ipaccess-listextended

{permit|deny}{ip|icmp|tcp|udp}{any|network|src_range}[src_port]{any|

network|src_range}[dst_port]

2)Eigrp

EIGRP:EnhancedInteriorGatewayRoutingProtocol即增強內部網關路由

線路協議。也翻譯為加強型內部網關路由協議。EIGRP是Cisco公司的私有協

議。Cisco公司是該協議的發明者和唯一具備該協議解釋和修改權的廠商。EIGRP

結合了鏈路狀態和距離矢量型路由選擇協議的Cisco專用協議，采用彌散修正算

法（DUAL）來實現快速收斂，可以不發送定期的路由更新信息以減少帶寬的占

用，支持Appletalk、IP、Novell和NetWare等多種網絡層協議。

.

資料

是Cisco的私有路由協議，它綜合了距離矢量和鏈路狀態2者的優點，它

的特點包括：

1.快速收斂

鏈路狀態包（Link-StatePacket,LSP）的轉發是不依靠路由計算的，所

以大型網絡可以較為快速的進行收斂.它只宣告鏈路和鏈路狀態，而不宣告路由，

所以即使鏈路發生了變化，不會引起該鏈路的路由被宣告.但是鏈路狀態路由協

議使用的是Dijkstra算法，該算法比較復雜，并且和其他路由協議單獨計算路由

相比較占CPU和內存資源，EIGRP采用彌散更新算法（diffusingcomputations），

通過多個路由器并行的進行路由計算，這樣就可以在無環路產生的情況下快速的

收斂.

2.減少帶寬占用

EIGRP不作周期性的更新，它只在路由的路徑和速度發生變化以后做部

分更新.當路徑信息改變以后，DUAL只發送那條路由信息改變了的更新，而不是

發送整個路由表.和更新傳輸到一個區域內的所有路由器上的鏈路狀態路由協議

相比，DUAL只發送更新給需要該更新信息的路由器。在WAN低速鏈路上，EIGRP

可能會占用大量帶寬，默認只占用鏈路帶寬50%，之后發布的IOS允許使用命令

ipbandwidth-percenteigrp來修改這一默認值.

3.支持多種網絡層協議

EIGRP通過使用“協議相關模塊”（即

protocol-dependentmodule),可以支持IPX,ApplleTalk,IP,IPv6和

NovellNetware等協議.

4.無縫連接數據鏈路層協議和拓撲結構

EIGRP不要求對OSI參考模型的層2協議做特別的配置.不像OSPF,OSPF

對不同的層2協議要做不同配置，比如以太網和幀中繼,EIGRP能夠有效的工作在

LAN和WAN中，而且EIGRP保證網絡及不會產生環路（loop-free）；而且配置

起來很簡單；支持VLSM；它使用組播和單播，不使用廣播，這樣做節約了帶寬；

它使用和IGRP一樣的度的算法，但是是32位長的；它可以做非等價的路徑的負

載平衡.

.

資料

.

資料

四、主要設備命令配置

1）.配置使得各PC機之間可以相互通信

routerA配置文檔：

Router>enable

Router#configureterminal

Enterconfigurationcommands,hCNTL/Z.

Router(config)#hostnameRouterA

RouterA(config)#ints0/0/0

RouterA(config-if)#ipaddress192.168.1.1255.255.255.252

RouterA(config-if)#clockrate64000

RouterA(config-if)#noshutdown

RouterA(config-if)#exit

RouterA(config)#intf0/0

RouterA(config-if)#ipaddress192.168.10.254255.255.255.0

RouterA(config-if)#noshutdown

RouterA#configt

Enterconfigurationcommands,hCNTL/Z.

.

資料

RouterA(config)#routereigrp1

RouterA(config-router)#network192.168.1.0

RouterA(config-router)#network192.168.10.0

RouterA(config-router)#noauto

RouterA(config-router)#noauto-summary

RouterA(config-router)#exit

routerB的配置文檔：

Router>enable

Router#configureterminal

Enterconfigurationcommands,hCNTL/Z.

Router(config)#hostnameRouterB

RouterB(config)#ints0/0/0

RouterB(config-if)#ipaddress192.168.1.2255.255.255.252

RouterB(config-if)#noshutdown

%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetoup

.

資料

RouterB(config-if)

#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/0,changed

statetoup

RouterB(config-if)#exit

RouterB(config)#intf0/0

RouterB(config-if)#ipaddress192.168.11.254255.255.255.0

RouterB(config-if)#noshutdown

RouterB#configt

Enterconfigurationcommands,hCNTL/Z.

RouterB(config-router)#network192.168.1.0

RouterB(config-router)

#%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)is

up:newadjacency

RouterB(config-router)#network192.168.11.0

RouterB(config-router)#noauto

RouterB(config-router)#noauto-summary

RouterB(config-router)#

.

資料

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)is

up:newadjacency

RouterB(config-router)#exit

RouterB(config)#exit

先查看RouterA和RouterB上的路由表：

圖1-2

.

資料

圖1-3

PC_A訪問PC_F以及192.168.1.2

圖1-4

.

資料

192.168.1.0的網絡訪問LAN_B

圖1-5

.

資料

3)本次實驗LAN_B只允許LAN_A的訪問，拒絕其他網段的數據。

Router（config-if）#access-list1permit192.168.10.00.0.0.255

分析我們應該將此訪問列表放置在哪個網絡的位置能最好的實現此功能

設想一：將定義的ACL放置在RouterA的f0/0接口時，

RouterA>en

RouterA#configt

Enterconfigurationcommands,hCNTL/Z.

RouterA(config)#access-list1permit192.168.10.10.0.0.255

RouterA(config)#exit

RouterA

#%SYS-5-CONFIG_I:Configuredfromconsolebyconsole

RouterA#configt

Enterconfigurationcommands,hCNTL/Z.

RouterA(config)#intf0/0

RouterA(config-if)#ipaccess-group1in

RouterA(config-if)#exit

RouterA(config)#exit

.

資料

%SYS-5-CONFIG_I:Configuredfromconsolebyconsole

RouterA#showacc

RouterA#showaccess-lists

StandardIPaccesslist1

permit192.168.10.00.0.0.255

設想二：將定義的ACL放置在RouterA的s0/0/0接口時；

RouterA(config)#ints0/0/0

RouterA(config-if)#ipaccess-group1out

RouterA(config-if)#exit

RouterA(config)#exit

RouterA#showaccess-lists

StandardIPaccesslist1

permit192.168.10.00.0.0.255

設想三：將定義的ACL放置在RouterB的s0/0/0接口時；

RouterB#configt

Enterconfigurationcommands,hCNTL/Z.

RouterB(config)#acc

RouterB(config)#access-list1permit192.168.10.0

RouterB(config)#ints0/0/0

.

資料

RouterB(config-if)#ipacc

RouterB(config-if)#ipaccess-group1in

RouterB(config-if)#exit

RouterB(config)#exit

%SYS-5-CONFIG_I:Configuredfromconsolebyconsole

RouterB#show

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)isdown:

holdingtimeexpired

acc

RouterB#showaccess-lists

StandardIPaccesslist1

permithost192.168.10.0

%SYS-5-CONFIG_I:Configuredfromconsolebyconsole

RouterB#showiproute

Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP

D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea

N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP

i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea

*-candidatedefault,U-per-urstaticroute,o-ODR

P-periodicdownloadedstaticroute

Gatewayoflastresortisnott

192.168.1.0/30issubnetted,1subnets

C192.168.1.0isdirectlyconnected,Serial0/0/0

D192.168.10.0/24[90/2172416]via192.168.1.1,00:03:12,Serial0/0/0

C192.168.11.0/24isdirectlyconnected,FastEthernet0/0

此時顯示：

.

資料

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.1(Serial0/0/0)isdown:

holdingtimeexpired

再次查看路由表

RouterB#showiproute

Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP

D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea

N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP

i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea

*-candidatedefault,U-per-urstaticroute,o-ODR

P-periodicdownloadedstaticroute

Gatewayoflastresortisnott

192.168.1.0/30issubnetted,1subnets

C192.168.1.0isdirectlyconnected,Serial0/0/0

C192.168.11.0/24isdirectlyconnected,FastEthernet0/0

在RouterA上此時顯示：

DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:

retrylimitexceeded

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isup:

newadjacency

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:

retrylimitexceeded

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isup:

newadjacency

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:

retrylimitexceeded

.

資料

%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isup:

newadjacency

顯示路由表：

RouterA>en

RouterA#showiproute

Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP

D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea

N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP

i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea

*-candidatedefault,U-per-urstaticroute,o-ODR

P-periodicdownloadedstaticroute

Gatewayoflastresortisnott

192.168.1.0/30issubnetted,1subnets

C192.168.1.0isdirectlyconnected,Serial0/0/0

C192.168.10.0/24isdirectlyconnected,FastEthernet0/0

RouterA

#%DUAL-5-NBRCHANGE:IP-EIGRP1:Neighbor192.168.1.2(Serial0/0/0)isdown:

retrylimitexceeded

設想四：將定義的ACL放置在RouterB的f0/0接口時；

RouterB#configt

Enterconfigurationcommands,hCNTL/Z.

RouterB(config)#acc

.

資料

RouterB(config)#access-list1permit192.168.10.00.0.0.255

RouterB(config)#exit

%SYS-5-CONFIG_I:Configuredfromconsolebyconsole

RouterB#configt

Enterconfigurationcommands,hCNTL/Z.

RouterB(config)#intf0/0

RouterB(config-if)#ipacc

RouterB(config-if)#ipaccess-group1out

RouterB(config-if)#exit

RouterB(config)#exit

.

資料

五、測試結果與分析（通過運行截圖分析）

圖1-6標準ACL放置位置之設想一

此時測試：

圖1-7

.

資料

圖1-8

分析：

當將定義的ACL放置在RouterA的f0/0接口時；

192.168.10.0網絡可以訪問192.168.11.0；而且192.168.1.0網絡也可以訪問

192.168.11.0，所以這種設想不能滿足用戶要求，因為用戶的目的實際是只允許

192.168.10.0網絡進入192.168.11.0，而上圖的配置不能過濾其他網段的數據進

入LAN_B。

.

資料

圖1-9標準ACL放置位置之設想二

此時測試：

圖1-10

.

資料

圖1-11

分析：

當將定義的ACL放置在RouterA的s0/0/0接口時；

192.168.10.0網絡可以訪問192.168.11.0；而且192.168.1.0網絡也可以訪問

192.168.11.0，所以這種設想不能滿足用戶要求，因為用戶的目的實際是只允許

192.168.10.0網絡進入192.168.11.0，而上圖的配置不能過濾其他網段的數據進

入LAN_B。

.

資料

圖1-12標準ACL放置位置之設想三

此時測試：

圖1-13

.

資料

圖1-14

分析：當將定義的ACL放置在RouterB的s0/0/0接口時；

如上圖所示，當把過濾要求access-list1permit192.168.10.00.0.0.255應用

在RouterB的s0/0/0接口(ipaccess-group1in)時，Neighbor192.168.1.1

(Serial0/0/0)isdown:holdingtimeexpired，也就是說限制了鄰居192.168.1.1（Serial

0/0/0），從而使得網絡192.168.10.0網絡在與192.168.11.0網絡通信時路由信

息被限制從而沒有到達的路徑，“Destinationhostunreachable”，所以不能達到

實驗要求。

.

資料

圖1-15標準ACL放置位置之設想四

此時測試

圖1-16

.

資料

圖1-17

分析：當將定義的ACL放置在RouterB的f0/0接口時；

如上圖所示，根據列表的定義，只有來自192.168.10.0網段的數據可以從此

接口送出，從而進入LAN_B，其他網段將被過濾掉。因此，如上圖所示標準ACL

放置在設想四的位置時，不管RouterB是否還有其他的接口，只有192.168.10.0

網段的數據可以進入LAN_B。

.

資料

六、設計總結

本次實驗的要求進行訪問限制，只允許網段LAN_A訪問LAN_B，通過本次

實驗的配置，當把ACL放置在設想之位置四時都可以達到題目要求的目的。

但在設計的過程中當我把ACL放置在設想三的位置時出現了“Destination

hostunreachable.”通過查閱網絡以及尋求同學的幫助，最終成功完成了此次實

驗。

功能擴展：

1）可以再次進行訪問限制，只允許LAN_A網段上的PC_A訪問LAN_B上

PC_F的www和telnet服務此時會用到擴展的ACL

擴展的ACL使用100~199以及2000~2699之間的數字作為表號。標

準ACL可以阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡

的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。擴展ACL

比標準ACL提供了更廣泛的控制范圍。例如，網絡管理員如果希望做到“允許

外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，

他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。

2)在加入核心交換機與LAN_C，并啟用dhcp自動獲取IP地址

圖1-18

.

資料

七、參考文獻（不少于5篇）

[1]組建可擴展的cisco互連網絡（BSCI）：第三版/DianeTeareCatherinePaquet（著）,

陳宇袁國忠（譯）[M]北京：人民郵電出版社，2007.10

[2]ToddLammle（著）程代偉（譯）.CCNASWITCH(640-802)學習指南[M]電子工業

出版社18

[3]高峽等．網絡設備互聯學習指南[M]．北京：科學出版社，2009，4．

[4]梁廣民等．思科網絡實驗室路由、交換實驗指南[M]．北京電子出版社，2007．

[5]唐子蛟等。基于ACL的網絡安全管理的應用研宄[M]．四川理工學院學報(自然科學

版)，2009.2．

[6]楊威。網絡工程設計與系統集成。[M]北京：人民郵電出版社，2004.

指導教師意見：

簽名：

年月日

成績評定：