L000 0075 访问控制列表原理与配置实验指导书中文版11Word文档下载推荐.docx
《L000 0075 访问控制列表原理与配置实验指导书中文版11Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《L000 0075 访问控制列表原理与配置实验指导书中文版11Word文档下载推荐.docx(12页珍藏版)》请在冰豆网上搜索。
1.2.2实验环境
在实际的企业网或者校园网络中为了保证信息安全以及权限控制,都需要分别对待网内的用户群。
有的能够访问外部,有的则不能。
这些设置往往都是在整个网络的出口或是入口(一台路由器上)进行的。
所以在实验室我们用一台路由器(RTA)模拟整个企业网,用另一台路由器(RTB)模拟外部网。
在实际完成实验时不一定需要两台交换机和多台主机,交换机可以共用一台,但最好划分在不同的VLAN下,主机至少两台,可以灵活改变IP地址来满足实验需求。
1.2.3实验组网图
1.2.4实验步骤
1.实验准备
按照上面的组网图建立实验环境,然后按照如下规则分配IP地址。
路由器接口IP地址:
RTA
RTB
S0
192.0.0.1/24
192.0.0.2/24
E0
202.0.0.1/24
202.0.1.1/24
主机的地址和缺省网关:
PCA
PCB
PCC
PCD
PCE
IP/MASK
202.0.0.2/24
202.0.0.3/24
202.0.0.4/24
202.0.1.2/24
202.0.1.3/24
GATEWAY
202.0.0.1
202.0.1.1
2.标准访问控制列表
标准访问控制列表只使用数据包的源地址来判断数据包,所以它只能以源地址来区分数据包,源相同而目的不同的数据包也只能采取同一种策略。
所以利用标准访问控制列表,我们只能粗略的区别对待网内的用户群,那些主机能访问外部网,那些不能。
我们来完成如下实验,看看标准访问控制列表是如何完成该功能的。
在实验环境中,我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络,则只需在路由器上进行如下配置即可:
[RTA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
firewallenable//启动防火墙功能
sysnameRTA
encrypt-cardfast-switch
acl1match-orderauto
rulenormalpermitsource202.0.0.20.0.0.0//允许特定主机访问外部网络
rulenormaldenysource202.0.0.00.0.0.255//禁止其他主机访问外部网络
interfaceAux0
asyncmodeflow
phy-mru0
link-protocolppp
interfaceEthernet0
ipaddress202.0.0.1255.255.255.0
interfaceSerial0
ipaddress192.0.0.1255.255.255.0
firewallpacket-filter1outbound//使访问列表生效
interfaceSerial1
clockDTECLK1
quit
rip//启动路由协议
networkall
return
[RTB]displaycurrent-configuration
firewallenable
sysnameRTB
ipaddress202.0.1.1255.255.255.0
ipaddress192.0.0.2255.255.255.0
rip
注意:
在配置路由器时还需要配置防火墙的缺省工作过滤视图(firewalldefault{permit|deny}),因该命令配置与否在配置信息中没有显示,所以要特别注意。
Quidway系列路由器防火墙默认过滤视图是允许。
在此我们也设为允许。
(您可以设为禁止,看看实验现象。
此时有可能路由器不能发现动态路由,因为路由协议也是用IP包去发现路由的,禁止了所有IP包的传送当然不可能生成动态路由。
)完成上述配置之后,用网络测试命令测试PCA是不是真的能够访问外部网络,PCB等主机是不是不能访问外部网络呢?
在设置防火墙时,一般选择在路由器的出口,可以使用firewallpacket-filter1outbound来使防火墙生效,但是如果改为firewallpacket-filter1inbound呢?
试试会是什么现象,是不是任何主机都可以访问外部网络呢?
答案是肯定的。
那么我们如果是在E0口使用firewallpacket-filter1inbound命令呢?
现象就如同开始一样了。
现在明白inbound和outbound的意义了吗?
我们甚至可以在RTB上来完成该项功能,完成如下配置即可达到同样的效果:
networkall
rulenormalpermitsource202.0.0.20.0.0.0
rulenormaldenysource202.0.0.00.0.0.255
firewallpacket-filter1inbound
从上面的实验可以看出inbound和outbound两个方向不同作用以及使用不同接口的配置差异了,所以在设置防火墙时,我们需要仔细分析,灵活运用,选择最佳接口,最简单的配置完成最完善的功能。
3.扩展访问控制列表
扩展访问控制列表不仅使用数据包的源地址作为判断条件,还使用目的地址、协议号为判断条件。
所以它可以更加详细的区分数据包,更好的控制用户访问。
下面我们先应用扩展访问控制列表来完成前面标准访问控制列表完成的功能,以便比较。
在路由器上的具体配置如下:
firewallenable
acl101match-orderauto
rulenormalpermitipsource202.0.0.20.0.0.0destination202.0.1.00.0.0.255
rulenormaldenyipsource202.0.0.00.0.0.255destination202.0.1.00.0.0.255
firewallpacket-filter101outbound
inte