交换机基本配置及交换机常用配置命令的使用
- 格式:doc
- 大小:96.00 KB
- 文档页数:5
实验八 ACL和包过滤防火墙实验
----包过滤控制访问列表
一、实验目标
1、掌握路由器的包过滤的核心技术:访问控制ACL;
2、掌握基本和高级访问控制列表的配置方法;
3、掌握访问控制列表的应用,灵活设计包过滤防火墙。
二、实验环境
组网图如图8-1所示。
图8-1 ACL和包过滤防火墙实验组网示意图
三、实验要求及参考步骤
1、连接设备并配置IP地址。根据组网图7-1连接各设备,并参考下表设置各台pc机的IP地址和缺省网关。
2、实验任务
实验任务一:配置网络互连互通
在进行ACL访问控制列表和包过滤防火墙实验之前,必须先实现网络之间的互连互通,即在路由器上配置接口IP地址和路由协议。
1)在路由器上配置接口IP地址
RTA上的配置
[Quidway]sysname RTA
[RTA]interface Ethernet 0/0
[RTA-Ethernet0/0]ip address 192.168.10.1 24
[RTA-Ethernet0/0]interface serial 3/1
[RTA-serial3/1]ip address 202.1.10.1 30
RTB上的配置
[Quidway]sysname RTB
[RTB]interface Ethernet 0/0
[RTB-Ethernet0/0]ip address 192.168.11.1 24
[RTB-Ethernet0/0]interface serial 0/0
[RTB-serial3/1]ip address 202.1.10.2 30
2)配置静态路由:分别在RTA、RTB上配置到对端以太网段的静态路由。
[RTA]ip route-static 192.168.11.0 255.255.255.0 202.1.10.2 preference 60
[RTB]ip route-static 192.168.10.0 255.255.255.0 202.1.10.1 preference 60
请检查pc1、pc2、pc3、pc4四台主机之间是否能够连通。
实验任务二:基本访问控制列表的配置
用一台路由器RTA下面的局域网模拟企业网A,用另一台路由器RTB下面的局域网模拟外部网B。
基本访问控制列表只能使用数据包的源地址来判断数据包,所以它只能粗略的区别对待网内的用户群,哪些主机能访问外网,哪些不能。
1、实验要求:只允许IP地址为192.168.10.2的主机pc1访问外网。
2、配置方式:既可在RTA上实现访问控制,也可在RTB上配置包过滤,效果是一样的。
方式一:在RTA上实现访问控制
1)在RTA上配置ACL
[RTA]acl number 2000 /创建基本ACL,编号为2000/
[RTA-acl-basic-2000]rule 0 permit source 192.168.10.2 0
/允许特定主机访问外部网络(网络B)/ [RTA-acl-basic-2000]rule 1 deny source 192.168.10.0 0.0.0.255
/禁止同一子网中的其他主机访问外部网络(网络B)/ [RTA-acl-basic-2000]quit
2)启动包过滤防火墙并在接口上应用ACL,实现包过滤
[RTA]firewall enable /启动防火墙功能/
[RTA]interface serial 3/1
[RTA-serial3/1]firewall packet-filter 2000 outbound
/使访问列表生效/
3)检查配置效果:在pc1和pc2上分别ping网络B中的pc3和pc4。
注:实验过程中,可以自己在路由器上修改相关配置试试有何效果。
方式二:在RTB上配置包过滤
1)首先在RTA上删除有关ACL和firewall的配置
[RTA]acl number 2000
[RTA-acl-basic-2000]undo rule 0
[RTA-acl-basic-2000]undo rule 1
[RTA-acl-basic-2000]interface serial 3/1
[RTA-serial3/1]undo firewall packet-filter 2000 outbound
[RTA-serial3/1]quit
2)在RTB上进行配置
[RTB]acl number 2000
[RTB-acl-basic-2000]rule 0 permit source 192.168.10.2 0
[RTB-acl-basic-2000]rule 1 deny source 192.168.10.0 0.0.0.255 [RTB-acl-basic-2000]quit
[RTB]firewall enable
[RTB]interface serial 0/0
[RTB-serial0/0]firewall packet-filter 2000 inbound
实验任务三:高级访问控制列表
高级访问控制列表不仅使用数据包的源地址作为判断条件,还使用目的地址、协议号为判断条件。所以它可以更加详细的区分数据包,更好的控制用户访问。
㈠应用高级访问控制列表来完成前面基本访问控制列表完成的功能,以便比较。
1、删除前面的配置:在进行下面的实验之前,请先在路由器上删除所有关于ACL和firewall的配置。
[RTB]acl number 2000
[RTB-acl-basic-2000]undo rule 0
[RTB-acl-basic-2000]undo rule 1
[RTB-acl-basic-2000]quit
[RTB]interface serial 0/0
[RTB-serial0/0]undo firewall packet-filter 2000 inbound
2、在RTA上配置ACL
[RTA]acl 3000 match-order auto
[RTA-acl-sdv-3000]rule 0 permit ip source 192.168.10.2 0 destination 192.168.20.0 0.0.0.255
[RTA-acl-basic-3000]rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[RTA-acl-basic-3000]Quit
3、启动包过滤防火墙并在接口上应用ACL实现包过滤
[RTA]firewall enable
[RTA]interface serial 3/1
[RTA-Serial 3/1]firewall packet-filter 3000 outbound
4、检查配置效果
在pc1和pc2上分别ping网络B中的pc3和pc4,只有pc1可以ping通。
补充说明:1)高级访问控制列表可以实现更加详细的访问控制,下面是如何实现这项要求的一个具体例子: