【实验名称】实验二 包过滤防火墙配置 【实验目的】掌握路由器上标准 ACL 的规则及配置。 【实验任务】 实现网段间互访的安全控制。 【实验原理】( 1 )标准访问控制列表( ACL ) 标准 ACL 能通过使用 IP 包中的源 IP 地址进行简单的源地址过滤。 配置标准 ACL 需要在全局配置模式下进行,命令格式: router (config) # access-list ACL_number { permit | deny } source_address dcard-mask 参数: l ACL_number : ACL 的编号,取值范围为(范围 1-99 或者 1300-1999 )。 l 关键字 permit 和 deny :表示允许或拒绝通过。 l 参数 source address :一个网络地址或一个主机地址。 l 参数 dcard-mask : 通配符掩码(反掩码),与子网屏蔽码的方式相反。 ( 2 )应用访问控制列表到具体的端口上 访问控制列表配置完成后,要应用到路由器的具体端口上起作用。首先要进入要添加启用访问控制列表的端口,然后再执行以下命令: router ( config-if ) # ip access-group ACL_number { in | out } 参数: ACL_number :需要应用的 ACL 号(范围 1-99 或者 1300-1999 ) in | out :对路由器而言,数据流的方向。 ( 更多资料,参考 CISCO ACL 详解 .doc) 扩展控制列表: ACL_number : ACL 的编号,取值范围为 100-199 或者 2000-2699 格式: access-list access-list number {permit/deny} protocol + 源地址 + 反码 + 目标地址 + 反码 +operator operan(It 小于, gt 大于, eq 等于, neq 不等于 . 具体可? )+ 端口号 【实验内容】通过配置 ACL ,实现对网段及网段内一台电脑的控制。 【实验拓扑】 【实验步骤】 步骤 0 :在 CISCO PT 中建拓扑: (截图) 步骤 1. 路由器 Route0 上的基本配置: Enable Config t Route0 (config)#interface f0/1 Route0(config-if) #no shutdown Route0(config-if)#ip address 192.168.1.254 255.255.255.0 // 给接口配置 IP 地址 Route0 (config)#interface f0/0 Route0(config-if) #no shutdown Route0(config-if)#ip address 192.168.3.254 255.255.255.0 // 给接口配置 IP 地址 Route0(config-if)#int s0/1/0 Route0 (config-if)#no shutdown Route0(config-if)#clock rate 64000 // 配置时钟频率 Route0 (config-if)#ip add 10.1.2.1 255.0.0.0 Route0 (config-if)#exit Route0 (config)#ip route 192.168.2.0 255.255.255.0 s0/1/0 // 配置静态路由 步骤 2. 路由器 Route1 上的基本配置: Enable Config t Route1(config)#interface f 0/1 Route1(config-if) #no shutdown Route1(config-if)#ip address 192.168.2.254 255.255.255.0 Route1(config)#int s0/0/0 Route1(config-if)#no shutdown Route1(config-if)#ip address 10.1.2.2 255.0.0.0 Route1(config-if)#exit Route1(config)#ip route 192.168.1.0 255.255.255.0 s0/0/0 // 配置静态路由 Route1(config)#ip route 192.168.3.0 255.255.255.0 s0/0/0 // 配置静态路由 步骤 3. 做好上述配置后,测试 PC1 和 PC2 之间的连通性,保证它们之间能够相互访问。 : PC0 ping PC1 成功 (截图) PC1 ping PC0 成功 (截图) PC2 ping PC1 成功 (截图) 步骤 4. 在 Route 0 上配置标准 ACL : Route0 (config)#access-list 1 deny 192.168.1.0 0.0.0.255 // 配置标准 ACL ,不允许 192.168.1.0 这个网段的流量 Route0 (config)# int s0/1/0 Route0(config-if)#ip access-group 1 out // 将 ACL 应用到接口 s0/1/0 出栈方向 Route0 (config-if)#end Route0 #show access-lists 1 // 查看访问列表 1 的详细信息 (截图) : 步骤 5. 测试:做好上述配置,再测试 PC0 与 PC1 之间的连通性,若不能 ping 通,实验成功。 (截图) : 测试:再测试 PC2 与 PC1 之间的连通性,若能 ping 通,实验成功。 (截图) : 步骤 6. 把 Route0 上的 s0/1/0 接口下的 ACL 去掉,再次检测 PC1 与 PC0 之间的连通性。 Route0 (config)# int s0/1/0 Route0(config-if)# no ip access-group 1 out // 把接口 s0/1/0 上的 ACL 去掉。 再测试 PC1 与 PC0 之间的连通性,若能 ping 通,实验成功。 (截图) : 步骤 7. 上述操作只是对整个网段做限制,当一个网段内有多台电脑时,思考:如何实现限制网一台电脑 IP 的数据包通过,如何实现限制某些端口的数据包通过,如 80 端口。 1) 实现精准访问控制,如允许 PC0 PING 能通 PC1, 而无法 PING 通 SERVER1 。 R1 配置截图: Access-list 106 permit icmp host 192.168.1.1 host 192.168.2.1 Access-list 106 permit icmp host 192.168.2.1 host 192.168.2.1 Access-list 106 deny icmp host 192.168.1.1 host 192.168.2.5 Access-list 106 deny icmp host 192.168.2.5 host 192.168.1.1 Int S0/1/0 Ip access-group 106 in 截图:能否实现。 no ip access-group 106 in 2) 允许 PC0 能通过浏览器访问 WWW 服务器 SERVER1 。 Pc2 不能访问服务器 SERVER1. R0 配置截图: Access-list 107 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.5 eq 80 Access-list 107 deny tcp any host 192.168.2.5 eq www Int S0/0/0 Ip access-group 107 out 测试是否成功, 成功后,可用下述命令取消控制列表 no ip access-group 107 out 实验总结:(心得、体会、遇到的问题及解决过程)