《ACL滤实验.doc》由会员分享,可在线阅读,更多相关《ACL滤实验.doc(4页珍藏版)》请在金锄头文库上搜索。
1、 ACL包过滤实验京东翰林H3C指导老师分享 实验21 ACL包过滤实验任务一:配置基本ACL本实验任务主要是通过在路由器上实施基本ACL来禁止PCA访问PCB,使学员熟悉基本ACL的配置和作用步骤一:建立物理连接并初始化路由器配置按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化。步骤二:配置IP地址及路由 IP地址列表设备名称接口IP地址网关RTAS6/0192.168.1.1/24-G0/0192.168.0.1/24-RTBS
2、6/0192.168.1.2/24-G0/0192.168.2.1/24-PCA-192.168.0.2/24192.168.0.1PCB-192.168.2.2/24192.168.2.1按0所示在PC上配置IP地址和网关。配置完成后,在Windows操作系统的【开始】里选择【运行】,在弹出的窗口里输入CMD,然后在【命令提示符】下用ipconfig命令来查看所配置的IP地址和网关是否正确。学员可自己选择在路由器上配置静态路由或任一种动态路由,来达到全网互通配置完成后,请在PCA上通过Ping命令来验证PCA与路由器、PCA与PCB之间的可达性。其结果应该可达。如果不可达,请参考本教材相关章
3、节来检查路由协议是否设置正确。步骤三:ACL应用规划本实验的目的是使PCA不能访问PCB,也就是PC之间不可达。请学员考虑如何在网络中应用ACL包过滤的相关问题:l 需要使用何种ACL?l ACL规则的动作是deny 还是permit?l ACL规则中的反掩码应该是什么?l ACL包过滤应该应用在路由器的哪个接口的哪个方向上?下面是有关ACL规划的答案:l 本实验目的是要禁止PCA访问PCB,仅使用源IP地址就能够识别PCA发出的数据报文,因此使用基本ACL即可。l 本实验目的是要使PC之间不可达,因此ACL规则的动作是deny。l 本实验中只需要限制从单台PC发出的报文,因此反掩码设置为0.
4、0.0.0。l 因为需要禁止PCA访问PCB,所以可以在RTA连接PCA的接口G0/0上应用ACL,方向为Inbound。步骤四:配置基本ACL并应用首先要在RTA上配置开启防火墙功能并设置防火墙的缺省过滤方式,请在下面的空格中补充完整的命令:RTA firewall enableRTAfirewall default permit其次配置基本ACL,基本ACL的编号范围是 20002999,请在下面的空格中补充完整的命令:RTAacl number 2001 RTA-acl-basic-2001rule deny source 192.168.0.2 0.0.0.0最后要在RTA的接口上应用
5、ACL才能确保ACL生效,请在下面的空格中写出完整的在正确的接口正确的方向上应用该ACL的配置命令:RTA-GigabitEthernet0/0firewall packet-filter 2001 inbound步骤五:验证防火墙作用及查看在PCA上使用Ping命令来测试从PCA到PCB的可达性,结果是ping包返回目的网段不可达同时在RTA上通过命令display acl 2001查看ACL的统计,根据其输出信息显示可以看Rule 0 8 times matched,根据该显示可以看到有数据报文命中了ACL中定义的规则。在RTA上通过display firewall-statistics
6、all命令查看所有的火墙的统计信息,依据该命令输出信息可以看到: Firewall is enable, default filtering method is permit. Interface: GigabitEthernet0/0 In-bound Policy: acl 2001试验任务二:配置高级ACL本实验任务是通过在路由器上实施高级ACL来禁止从PCA到网络192.168.2.0/24的FTP数据流,来使学员熟悉高级ACL的配置和作用。步骤一:建立物理连接并初始化路由器配置按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果
7、配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化。步骤二:ACL应用规划本实验的目的是禁止从PCA到网络192.168.2.0/24的FTP数据流,但允许其它数据流通过。请学员考虑如何在网络中应用ACL包过滤的相关问题:l 需要使用何种ACL?l ACL规则的动作是deny 还是permit?l ACL规则中的反掩码应该是什么?l ACL包过滤应该应用在路由器的哪个接口的哪个方向上?下面是有关ACL规划的答案:l 本实验目的是要禁止从PCA到网络192.168.2.0/24的FTP数据流。需要使用协议端口号来识别PCA发出的FTP数据报文
8、,因此必须使用高级ACL。l 本实验目的是要使PC之间不可达,因此ACL规则的动作是deny。l 本实验中只需要限制从单台PC发出的到网络192.168.2.0/24的报文,因此需要设置源IP地址反掩码为0.0.0.0,目的IP反掩码为0.0.0.255。l 因为需要禁止PCA发出的数据,所以可以在RTA连接PCA的接口G0/0上应用ACL,方向为inbound。步骤三:配置高级ACL并应用首先要在RTA上配置开启防火墙功能并设置防火墙的缺省过滤方式,请在下面的空格中补充完整的命令:RTA firewall enableRTAfirewall default permit其次配置高级ACL,高
9、级ACL的编号范围是30003999,请在下面的空格中补充完整的命令:RTAacl number 3002 RTA-acl-adv-3002 rule deny tcp source 192.168.0.2 0.0.0.0 destination 192.168.2.1 0.0.0.255 destination-port eq ftp RTA-acl-adv-3002 rule permit ip source 192.168.0.2 0.0.0.0 destination 192.168.2.0 0.0.0.255最后要在RTA的接口上应用ACL才能确保ACL生效,请在下面的空格中写出完整
10、的在正确的接口正确的方向上应用该ACL的配置命令:RTA-GigabitEthernet0/0firewall packet-filter 3002 inbound步骤四:验证防火墙作用及查看在PCA上使用Ping命令来测试从PCA到PCB的可达性,结果是可达 在PCB上开启FTP服务,然后在PCA上使用FTP客户端软件连接到PCB,结果应该是FTP请求被拒绝 同时在RTA上通过命令display acl 3002查看ACL的统计,根据其输出信息显示可以看Rule 0 6 times matched, Rule 5 1 times matched,根据该显示可以看到有数据报文命中了ACL中定义的规则。在RTA上通过display firewall-statistics all命令查看所有的火墙的统计信息,根据其输出信息可以看到数据报文被permitted、denied的百分比。注意:学员实验过程中所显示的times matched可能都不相同,是正常现象。
