实验九 防火墙——包过滤路由器的安全部署
一、编号标准ACL
lo2:3.3.3.3/24
实验配置命令顺序如下: 1、R1、R2、R3:
①.配置ip(包括接口ip及环回口ip)。注意:环回口ip的配置可参照实验八命令中的第五页loopback 配置命令。 ②.配置静态路由。
2、测试网络的连通性
ping 8.8.8.8 source 192.168.1.0
//带源ping通,表示对方路由器也能ping通本地环回接口
3、在R2上部署编号标准ACL,使得内网网段192.168.1.0/32不能访问外网,其他均能访问,配置如下。
//标准的ACL只能匹配源,不能匹配目的地。标准ACL的编号范围是1-99和1300-1999 //其中“1”是该条访问控制列表的编号。deny表示阻止从哪里发过来的数据。后面接的是反掩码
//由于一旦使用访问列表之后,就会默认deny掉所有流量,因而需要在最后加上一句permit any,表示放行其他的流量。
//接口的in和out方向要以本地路由器为参考点,然后考虑流量的方向。
4、测试ACL的效果,让内网路由器R1访问外网路由器R3,测试192.168.1.0/24、192.168.2.0/24与外网8.8.8.8的连通情况测试。
5、在R2上部署编号标准ACL,使得IP地址192.168.2.0可以TELNET本地,而其他IP地址没法访问,实现安全管理。
//no login表示无需验证,主要方便实验测试,就是不需要密码的意思 //VTY 下调用ACL,一般是in方向
6、测试ACL,在R1和R3上
TELNET R2
尝试lo1接口是否能够telnet 12.1.1.2
//注意:若上题改成192.168.1.0.无法访问3.3.3.3,可以访问8.8.8.8,则编号标准ACL无法实现,因为标准ACL只匹配源,不能匹配目的以及具体的端口和协议。 二、编号拓展ACL
lo2:3.3.3.3/24
1、配置IP及静态路由,保证全网连通。 2、在R2上部署编号拓展ACL,使得内网网段192.168.1.0/32不能访问外网主机3.3.3.3的23号端口,192.168.1.0/32网段不能ping通8.8.8.8
3、测试编号拓展ACL
三、命名ACL
lo2:3.3.3.3/24
1、配置IP及静态路由,保证全网连通。
2、在R2上部署基于命名的标准ACL,使得内网网段192.168.1.0/32不能访问外网,其他都能访问,配置如下
//standard表示这个是标准访问控制列表,DENYVLAN10是这个访问列表的名字 //这个访问列表应用在f0/0这个端口上,方向是进入路由的方向。 3.请自己写出测试ACL的代码及结果
4.在R2上部署明明拓展ACL,使得内网192.168.1.0无法访问外网主机3.3.3.3的23端口,192.168.1.0网段不能ping通
8.8.8.8
//extended表示拓展ACL,DENYSERVICE是名字,建议使用大写,以免和命令弄混了。
5、请自己写出测试ACL的代码及结果 6、管理命名
ACL
//matches表示多少次的匹配,10是ACL列表的序号,从小到大的顺序
删除ACL(确定删除操作是否完成)
插入ACL(确定插入操作是否完成)
四、时间ACL 1.拓扑图如三所示
2.在R2上部署基于时间的ACL,使得内网网段192.168.1.0/24在工作日上班时间8:30到18:00不能够访问外网。请在GNS3上实现,并说明代码含义。
3.测试你设置的时间ACL是否有效。
实验九 防火墙——包过滤路由器的安全部署
一、编号标准ACL
lo2:3.3.3.3/24
实验配置命令顺序如下: 1、R1、R2、R3:
①.配置ip(包括接口ip及环回口ip)。注意:环回口ip的配置可参照实验八命令中的第五页loopback 配置命令。 ②.配置静态路由。
2、测试网络的连通性
ping 8.8.8.8 source 192.168.1.0
//带源ping通,表示对方路由器也能ping通本地环回接口
3、在R2上部署编号标准ACL,使得内网网段192.168.1.0/32不能访问外网,其他均能访问,配置如下。
//标准的ACL只能匹配源,不能匹配目的地。标准ACL的编号范围是1-99和1300-1999 //其中“1”是该条访问控制列表的编号。deny表示阻止从哪里发过来的数据。后面接的是反掩码
//由于一旦使用访问列表之后,就会默认deny掉所有流量,因而需要在最后加上一句permit any,表示放行其他的流量。
//接口的in和out方向要以本地路由器为参考点,然后考虑流量的方向。
4、测试ACL的效果,让内网路由器R1访问外网路由器R3,测试192.168.1.0/24、192.168.2.0/24与外网8.8.8.8的连通情况测试。
5、在R2上部署编号标准ACL,使得IP地址192.168.2.0可以TELNET本地,而其他IP地址没法访问,实现安全管理。
//no login表示无需验证,主要方便实验测试,就是不需要密码的意思 //VTY 下调用ACL,一般是in方向
6、测试ACL,在R1和R3上
TELNET R2
尝试lo1接口是否能够telnet 12.1.1.2
//注意:若上题改成192.168.1.0.无法访问3.3.3.3,可以访问8.8.8.8,则编号标准ACL无法实现,因为标准ACL只匹配源,不能匹配目的以及具体的端口和协议。 二、编号拓展ACL
lo2:3.3.3.3/24
1、配置IP及静态路由,保证全网连通。 2、在R2上部署编号拓展ACL,使得内网网段192.168.1.0/32不能访问外网主机3.3.3.3的23号端口,192.168.1.0/32网段不能ping通8.8.8.8
3、测试编号拓展ACL
三、命名ACL
lo2:3.3.3.3/24
1、配置IP及静态路由,保证全网连通。
2、在R2上部署基于命名的标准ACL,使得内网网段192.168.1.0/32不能访问外网,其他都能访问,配置如下
//standard表示这个是标准访问控制列表,DENYVLAN10是这个访问列表的名字 //这个访问列表应用在f0/0这个端口上,方向是进入路由的方向。 3.请自己写出测试ACL的代码及结果
4.在R2上部署明明拓展ACL,使得内网192.168.1.0无法访问外网主机3.3.3.3的23端口,192.168.1.0网段不能ping通
8.8.8.8
//extended表示拓展ACL,DENYSERVICE是名字,建议使用大写,以免和命令弄混了。
5、请自己写出测试ACL的代码及结果 6、管理命名
ACL
//matches表示多少次的匹配,10是ACL列表的序号,从小到大的顺序
删除ACL(确定删除操作是否完成)
插入ACL(确定插入操作是否完成)
四、时间ACL 1.拓扑图如三所示
2.在R2上部署基于时间的ACL,使得内网网段192.168.1.0/24在工作日上班时间8:30到18:00不能够访问外网。请在GNS3上实现,并说明代码含义。
3.测试你设置的时间ACL是否有效。