1、ACL配置实验ACL配置实验 一、实验目的:深入理解包过滤防火墙的工作原理二、实验内容:练习使用Packet Tracer模拟软件配置ACL三、实验要求A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通;2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;B. 拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)、配置ACL
2、 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤1、配置主机,服务器与路由器的IP地址,使网络联通;PC0 ping PC2PC1 ping 服务器服务器 p
3、ing PC02、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 1 deny 192.168.1.2Router(config)#access-list 1 permit anyRouter(config)#int f 0/1Router(config-if)#ip access-group 1 outRouter(co
4、nfig-if)#exitRouter(config)#exitpc1 ping pc2和服务器pc0 ping pc2和服务器,可以ping通删除该条ACLRouterenRouter#show access-listStandard IP access list 1 deny host 192.168.1.2 (8 match(es) permit any (8 match(es)Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip access-list sta
5、ndard softRouter(config-std-nacl)#no access-list 1Router(config)#exitRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#show access-listStandard IP access list softPC1重新ping PC2和服务器,可以ping通 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;更改前更改aclRouteren
6、Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 101 deny tcp 192.168.1.2 255.255.255.0 192.168.2.2 255.255.255.0 eq 80Router(config)#access-list 101 permit ip any anyRouter(config)#int f 0/1Router(config-if)#ip access-group 101 outPc1不能访问服务器的www服务
7、pc0 可以Pc1 可以ping 通服务器删除ACLRouter#show access-listStandard IP access list softExtended IP access list 101 deny tcp 0.0.0.2 255.255.255.0 0.0.0.2 255.255.255.0 eq www (65 match(es) permit ip any any (9 match(es)Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip
8、access-list extended 101Router(config-ext-nacl)#no access-list 101Router(config)#exitPc1又可以成功访问服务器的www服务。实验BDNS服务器配置实验B基础配置各个主机 ping 通服务器 192.168.1.2;、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。gaozhuang-R0enPassword: gaozhuang-R0#conf tEnter configuration commands, one per line.
9、End with CNTL/Z.gaozhuang-R0(config)#access-list 1 permit host 192.168.2.2gaozhuang-R0(config)#line vty 0 4gaozhuang-R0(config-line)#access-class 1 ingaozhuang-R0(config-line)# 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 gaozhuang-R2engaozhuang-R2#conf tEnter configuration commands,
10、one per line. End with CNTL/Z. gaozhuang-R2(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255gaozhuang-R2(config)#access-list 101 permit ip any anygaozhuang-R2(config)#int f 0/0gaozhuang-R2(config-if)#ip access-group 101 outgaozhuang-R2(config-if)#gaozhuang-R2#网段192.168.3
11、.0 的ICMP 包不能访问网段192.168.1.0,但可以访问192.168.1.1:3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 gaozhuang-R0enPassword: gaozhuang-R0#conf tEnter configuration commands, one per line. End with CNTL/Z.gaozhuang-R0(config)#ip access-list extended ACL2gao
12、zhuang-R0(config-ext-nacl)#deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq 80 gaozhuang-R0(config-ext-nacl)#deny udp host 192.168.2.3 192.168.1.0 0.0.0.255 eq 53gaozhuang-R0(config-ext-nacl)#permit ip any anygaozhuang-R0(config-ext-nacl)#exitgaozhuang-R0(config)#int f 0/0gaozhuang-R0(config-if)#i
13、p access-group ac12 ingaozhuang-R0(config-if)#exgaozhuang-R0(config)#之前之后 PC13、验证ACL 规则,检验并查看ACL。gaozhuang-R0#show access-listStandard IP access list 1 permit host 192.168.2.2 (2 match(es)Extended IP access list ACL2 deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq www (321 match(es) deny udp host
14、 192.168.2.3 192.168.1.0 0.0.0.255 eq domain permit ip any any (16 match(es) gaozhuang-R0#show ip access-list acl2gaozhuang-R0#show ip access-list ACL2Extended IP access list ACL2 deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq www (321 match(es) deny udp host 192.168.2.3 192.168.1.0 0.0.0.255 eq domainpermit ip any any (16 match(es)查看路由2ACL协议