L000 0075 访问控制列表原理与配置实验指导书中文版11.docx
- 文档编号:3148775
- 上传时间:2022-11-18
- 格式:DOCX
- 页数:12
- 大小:47.53KB
L000 0075 访问控制列表原理与配置实验指导书中文版11.docx
《L000 0075 访问控制列表原理与配置实验指导书中文版11.docx》由会员分享,可在线阅读,更多相关《L000 0075 访问控制列表原理与配置实验指导书中文版11.docx(12页珍藏版)》请在冰豆网上搜索。
L0000075访问控制列表原理与配置实验指导书中文版11
实验1路由协议基础配置
1.1实验内容
掌握访问控制列表基本原理;
掌握访问控制列表基本配置。
1.2路由器基础配置
1.2.1实验目的
熟悉路由器的包过滤的核心技术:
访问控制列表;
掌握访问控制列表的相关知识;
掌握访问控制列表的应用,灵活设计防火墙;
1.2.2实验环境
在实际的企业网或者校园网络中为了保证信息安全以及权限控制,都需要分别对待网内的用户群。
有的能够访问外部,有的则不能。
这些设置往往都是在整个网络的出口或是入口(一台路由器上)进行的。
所以在实验室我们用一台路由器(RTA)模拟整个企业网,用另一台路由器(RTB)模拟外部网。
在实际完成实验时不一定需要两台交换机和多台主机,交换机可以共用一台,但最好划分在不同的VLAN下,主机至少两台,可以灵活改变IP地址来满足实验需求。
1.2.3实验组网图
1.2.4实验步骤
1.实验准备
按照上面的组网图建立实验环境,然后按照如下规则分配IP地址。
路由器接口IP地址:
RTA
RTB
S0
192.0.0.1/24
192.0.0.2/24
E0
202.0.0.1/24
202.0.1.1/24
主机的地址和缺省网关:
PCA
PCB
PCC
PCD
PCE
IP/MASK
202.0.0.2/24
202.0.0.3/24
202.0.0.4/24
202.0.1.2/24
202.0.1.3/24
GATEWAY
202.0.0.1
202.0.0.1
202.0.0.1
202.0.1.1
202.0.1.1
2.标准访问控制列表
标准访问控制列表只使用数据包的源地址来判断数据包,所以它只能以源地址来区分数据包,源相同而目的不同的数据包也只能采取同一种策略。
所以利用标准访问控制列表,我们只能粗略的区别对待网内的用户群,那些主机能访问外部网,那些不能。
我们来完成如下实验,看看标准访问控制列表是如何完成该功能的。
在实验环境中,我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络,则只需在路由器上进行如下配置即可:
[RTA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
firewallenable//启动防火墙功能
sysnameRTA
encrypt-cardfast-switch
!
acl1match-orderauto
rulenormalpermitsource202.0.0.20.0.0.0//允许特定主机访问外部网络
rulenormaldenysource202.0.0.00.0.0.255//禁止其他主机访问外部网络
!
interfaceAux0
asyncmodeflow
phy-mru0
link-protocolppp
!
interfaceEthernet0
ipaddress202.0.0.1255.255.255.0
!
interfaceSerial0
link-protocolppp
ipaddress192.0.0.1255.255.255.0
firewallpacket-filter1outbound//使访问列表生效
!
interfaceSerial1
clockDTECLK1
link-protocolppp
!
quit
rip//启动路由协议
networkall
!
quit
!
return
[RTB]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
firewallenable
sysnameRTB
encrypt-cardfast-switch
!
interfaceAux0
asyncmodeflow
phy-mru0
link-protocolppp
!
interfaceEthernet0
ipaddress202.0.1.1255.255.255.0
!
interfaceSerial0
clockDTECLK1
link-protocolppp
ipaddress192.0.0.2255.255.255.0
!
interfaceSerial1
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
注意:
在配置路由器时还需要配置防火墙的缺省工作过滤视图(firewalldefault{permit|deny}),因该命令配置与否在配置信息中没有显示,所以要特别注意。
Quidway系列路由器防火墙默认过滤视图是允许。
在此我们也设为允许。
(您可以设为禁止,看看实验现象。
此时有可能路由器不能发现动态路由,因为路由协议也是用IP包去发现路由的,禁止了所有IP包的传送当然不可能生成动态路由。
)完成上述配置之后,用网络测试命令测试PCA是不是真的能够访问外部网络,PCB等主机是不是不能访问外部网络呢?
在设置防火墙时,一般选择在路由器的出口,可以使用firewallpacket-filter1outbound来使防火墙生效,但是如果改为firewallpacket-filter1inbound呢?
试试会是什么现象,是不是任何主机都可以访问外部网络呢?
答案是肯定的。
那么我们如果是在E0口使用firewallpacket-filter1inbound命令呢?
现象就如同开始一样了。
现在明白inbound和outbound的意义了吗?
我们甚至可以在RTB上来完成该项功能,完成如下配置即可达到同样的效果:
[RTA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
sysnameRTA
encrypt-cardfast-switch
!
interfaceAux0
asyncmodeflow
phy-mru0
link-protocolppp
!
interfaceEthernet0
ipaddress202.0.0.1255.255.255.0
!
interfaceSerial0
link-protocolppp
ipaddress192.0.0.1255.255.255.0
!
interfaceSerial1
clockDTECLK1
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
[RTB]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
firewallenable
sysnameRTB
encrypt-cardfast-switch
!
acl1match-orderauto
rulenormalpermitsource202.0.0.20.0.0.0
rulenormaldenysource202.0.0.00.0.0.255
!
interfaceAux0
asyncmodeflow
phy-mru0
link-protocolppp
!
interfaceEthernet0
ipaddress202.0.1.1255.255.255.0
!
interfaceSerial0
clockDTECLK1
link-protocolppp
ipaddress192.0.0.2255.255.255.0
firewallpacket-filter1inbound
!
interfaceSerial1
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
从上面的实验可以看出inbound和outbound两个方向不同作用以及使用不同接口的配置差异了,所以在设置防火墙时,我们需要仔细分析,灵活运用,选择最佳接口,最简单的配置完成最完善的功能。
3.扩展访问控制列表
扩展访问控制列表不仅使用数据包的源地址作为判断条件,还使用目的地址、协议号为判断条件。
所以它可以更加详细的区分数据包,更好的控制用户访问。
下面我们先应用扩展访问控制列表来完成前面标准访问控制列表完成的功能,以便比较。
在路由器上的具体配置如下:
[RTA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
firewallenable
sysnameRTA
encrypt-cardfast-switch
!
acl101match-orderauto
rulenormalpermitipsource202.0.0.20.0.0.0destination202.0.1.00.0.0.255
rulenormaldenyipsource202.0.0.00.0.0.255destination202.0.1.00.0.0.255
!
interfaceAux0
asyncmodeflow
phy-mru0
link-protocolppp
!
interfaceEthernet0
ipaddress202.0.0.1255.255.255.0
!
interfaceSerial0
link-protocolppp
ipaddress192.0.0.1255.255.255.0
firewallpacket-filter101outbound
!
interfaceSerial1
clockDTECLK1
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
[RTB]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
firewallenable
sysnameRTB
encrypt-cardfast-switch
!
inte
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- L000 0075 访问控制列表原理与配置实验指导书中文版11 访问 控制 列表 原理 配置 实验 指导书 中文版 11