ACL配置实验.docx
《ACL配置实验.docx》由会员分享,可在线阅读,更多相关《ACL配置实验.docx(29页珍藏版)》请在冰豆网上搜索。
ACL配置实验
ACL配置实验
一、实验目的:
深入理解包过滤防火墙的工作原理
二、实验内容:
练习使用PacketTracer模拟软件配置ACL
三、实验要求
A.拓扑结构如下图所示,1,2,3是主机,4是服务器
1、配置主机,服务器及路由器的IP地址,使网络联通;
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。
使该配置生效,然后再删除该条ACL;
3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。
使该配置生效,然后再删除该条ACL;
B.拓扑结构如下图所示(要求:
跟拓扑上的ip地址配置不同)
1、配置ACL限制远程登录(telnet)到路由器的主机。
路由器R0只允许192.168.2.2远程登录(telnet)。
2、配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向及192.168.1.0/24网段。
3、配置ACL禁止特点的协议端口通讯。
禁止192.168.2.2使用www(80)端口访问192.168.1.0
禁止192.168.2.3使用dns(53)端口访问192.168.1.0
3、验证ACL规则,检验并查看ACL。
四、实验步骤
1、配置主机,服务器及路由器的IP地址,使网络联通;
PC0pingPC2
PC1ping服务器
服务器pingPC0
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。
使该配置生效,然后再删除该条ACL;
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#access-list1deny192.168.1.2
Router(config)#access-list1permitany
Router(config)#intf0/1
Router(config-if)#ipaccess-group1out
Router(config-if)#exit
Router(config)#exit
pc1pingpc2和服务器
pc0pingpc2和服务器,可以ping通
删除该条ACL
Router>en
Router#showaccess-list
StandardIPaccesslist1
denyhost192.168.1.2(8match(es))
permitany(8match(es))
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#ipaccess-liststandardsoft
Router(config-std-nacl)#noaccess-list1
Router(config)#exit
Router#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
Router#showaccess-list
StandardIPaccesslistsoft
PC1重新pingPC2和服务器,可以ping通
3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。
使该配置生效,然后再删除该条ACL;
更改前
更改acl
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#access-list101denytcp192.168.1.2255.255.255.0192.168.2.2255.255.255.0eq80
Router(config)#access-list101permitipanyany
Router(config)#intf0/1
Router(config-if)#ipaccess-group101out
Pc1不能访问服务器的www服务pc0可以
Pc1可以ping通服务器
删除ACL
Router#showaccess-list
StandardIPaccesslistsoft
ExtendedIPaccesslist101
denytcp0.0.0.2255.255.255.00.0.0.2255.255.255.0eqwww(65match(es))
permitipanyany(9match(es))
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#ipaccess-listextended101
Router(config-ext-nacl)#noaccess-list101
Router(config)#exit
Pc1又可以成功访问服务器的www服务。
实验B
DNS服务器配置
实验B
基础配置
各个主机ping通服务器192.168.1.2
;
1、配置ACL限制远程登录(telnet)到路由器的主机。
路由器R0只允许192.168.2.2远程登录(telnet)。
gaozhuang-R0>en
Password:
gaozhuang-R0#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
gaozhuang-R0(config)#access-list1permithost192.168.2.2
gaozhuang-R0(config)#linevty04
gaozhuang-R0(config-line)#access-class1in
gaozhuang-R0(config-line)#
2、配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向及192.168.1.0/24网段。
gaozhuang-R2>en
gaozhuang-R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
gaozhuang-R2(config)#access-list101denyicmp192.168.3.00.0.0.255192.168.1.00.0.0.255
gaozhuang-R2(config)#access-list101permitipanyany
gaozhuang-R2(config)#intf0/0
gaozhuang-R2(config-if)#ipaccess-group101out
gaozhuang-R2(config-if)#
gaozhuang-R2#
网段192.168.3.0的ICMP包不能访问网段192.168.1.0,但可以访问192.168.1.1:
3、配置ACL禁止特点的协议端口通讯。
禁止192.168.2.2使用www(80)端口访问192.168.1.0
禁止192.168.2.3使用dns(53)端口访问192.168.1.0
gaozhuang-R0>en
Password:
gaozhuang-R0#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
gaozhuang-R0(config)#ipaccess-listextendedACL2
gaozhuang-R0(config-ext-nacl)#denytcphost192.168.2.2192.168.1.00.0.0.255eq80
gaozhuang-R0(config-ext-nacl)#denyudphost192.168.2.3192.168.1.00.0.0.255eq53
gaozhuang-R0(config-ext-nacl)#permitipanyany
gaozhuang-R0(config-ext-nacl)#exit
gaozhuang-R0(config)#intf0/0
gaozhuang-R0(config-if)#ipaccess-groupac12in
gaozhuang-R0(config-if)#ex
gaozhuang-R0(config)#
之前
之后
PC1
3、验证ACL规则,检验并查看ACL。
gaozhuang-R0#showaccess-list
StandardIPaccesslist1
permithost192.168.2.2(2match(es))
ExtendedIPaccesslistACL2
denytcphost192.168.2.2192.168.1.00.0.0.255eqwww(321match(es))
denyudphost192.168.2.3192.168.1.00.0.0.255eqdomain
permitipanyany(16match(es))
gaozhuang-R0#showipaccess-listacl2
gaozhuang-R0#showipaccess-listACL2
ExtendedIPaccesslistACL2
denytcphost192.168.2.2192.168.1.00.0.0.255eqwww(321match(es))
denyudphost192.168.2.3192.168.1.00.0.0.255eqdomain
permitipanyany(16match(es))
查看路由2ACL协议