交换机基本配置及交换机常用配置命令的使用

实验八 ACL和包过滤防火墙实验

----包过滤控制访问列表

一、实验目标

1、掌握路由器的包过滤的核心技术：访问控制ACL；

2、掌握基本和高级访问控制列表的配置方法；

3、掌握访问控制列表的应用，灵活设计包过滤防火墙。

二、实验环境

组网图如图8-1所示。

图8-1 ACL和包过滤防火墙实验组网示意图

三、实验要求及参考步骤

1、连接设备并配置IP地址。根据组网图7-1连接各设备，并参考下表设置各台pc机的IP地址和缺省网关。

2、实验任务

实验任务一：配置网络互连互通

在进行ACL访问控制列表和包过滤防火墙实验之前，必须先实现网络之间的互连互通，即在路由器上配置接口IP地址和路由协议。

1)在路由器上配置接口IP地址

RTA上的配置

system-view

[Quidway]sysname RTA

[RTA]interface Ethernet 0/0

[RTA-Ethernet0/0]ip address 192.168.10.1 24

[RTA-Ethernet0/0]interface serial 3/1

[RTA-serial3/1]ip address 202.1.10.1 30

RTB上的配置

system-view

[Quidway]sysname RTB

[RTB]interface Ethernet 0/0

[RTB-Ethernet0/0]ip address 192.168.11.1 24

[RTB-Ethernet0/0]interface serial 0/0

[RTB-serial3/1]ip address 202.1.10.2 30

2)配置静态路由：分别在RTA、RTB上配置到对端以太网段的静态路由。

[RTA]ip route-static 192.168.11.0 255.255.255.0 202.1.10.2 preference 60

[RTB]ip route-static 192.168.10.0 255.255.255.0 202.1.10.1 preference 60

请检查pc1、pc2、pc3、pc4四台主机之间是否能够连通。

实验任务二：基本访问控制列表的配置

用一台路由器RTA下面的局域网模拟企业网A，用另一台路由器RTB下面的局域网模拟外部网B。

基本访问控制列表只能使用数据包的源地址来判断数据包，所以它只能粗略的区别对待网内的用户群，哪些主机能访问外网，哪些不能。

1、实验要求：只允许IP地址为192.168.10.2的主机pc1访问外网。

2、配置方式：既可在RTA上实现访问控制，也可在RTB上配置包过滤，效果是一样的。

方式一：在RTA上实现访问控制

1)在RTA上配置ACL

[RTA]acl number 2000 /创建基本ACL，编号为2000/

[RTA-acl-basic-2000]rule 0 permit source 192.168.10.2 0

/允许特定主机访问外部网络(网络B)/ [RTA-acl-basic-2000]rule 1 deny source 192.168.10.0 0.0.0.255

/禁止同一子网中的其他主机访问外部网络(网络B)/ [RTA-acl-basic-2000]quit

2)启动包过滤防火墙并在接口上应用ACL，实现包过滤

[RTA]firewall enable /启动防火墙功能/

[RTA]interface serial 3/1

[RTA-serial3/1]firewall packet-filter 2000 outbound

/使访问列表生效/

3)检查配置效果：在pc1和pc2上分别ping网络B中的pc3和pc4。

注：实验过程中，可以自己在路由器上修改相关配置试试有何效果。

方式二：在RTB上配置包过滤

1)首先在RTA上删除有关ACL和firewall的配置

[RTA]acl number 2000

[RTA-acl-basic-2000]undo rule 0

[RTA-acl-basic-2000]undo rule 1

[RTA-acl-basic-2000]interface serial 3/1

[RTA-serial3/1]undo firewall packet-filter 2000 outbound

[RTA-serial3/1]quit

2)在RTB上进行配置

[RTB]acl number 2000

[RTB-acl-basic-2000]rule 0 permit source 192.168.10.2 0

[RTB-acl-basic-2000]rule 1 deny source 192.168.10.0 0.0.0.255 [RTB-acl-basic-2000]quit

[RTB]firewall enable

[RTB]interface serial 0/0

[RTB-serial0/0]firewall packet-filter 2000 inbound

实验任务三：高级访问控制列表

高级访问控制列表不仅使用数据包的源地址作为判断条件，还使用目的地址、协议号为判断条件。所以它可以更加详细的区分数据包，更好的控制用户访问。

㈠应用高级访问控制列表来完成前面基本访问控制列表完成的功能，以便比较。

1、删除前面的配置：在进行下面的实验之前，请先在路由器上删除所有关于ACL和firewall的配置。

[RTB]acl number 2000

[RTB-acl-basic-2000]undo rule 0

[RTB-acl-basic-2000]undo rule 1

[RTB-acl-basic-2000]quit

[RTB]interface serial 0/0

[RTB-serial0/0]undo firewall packet-filter 2000 inbound

2、在RTA上配置ACL

[RTA]acl 3000 match-order auto

[RTA-acl-sdv-3000]rule 0 permit ip source 192.168.10.2 0 destination 192.168.20.0 0.0.0.255

[RTA-acl-basic-3000]rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

[RTA-acl-basic-3000]Quit

3、启动包过滤防火墙并在接口上应用ACL实现包过滤

[RTA]firewall enable

[RTA]interface serial 3/1

[RTA-Serial 3/1]firewall packet-filter 3000 outbound

4、检查配置效果

在pc1和pc2上分别ping网络B中的pc3和pc4，只有pc1可以ping通。

补充说明：1)高级访问控制列表可以实现更加详细的访问控制，下面是如何实现这项要求的一个具体例子：