ACL包過濾實(shí)驗(yàn)

1、0 ACL包過濾實(shí)驗(yàn)京東翰林H3C指導(dǎo)老師分享 實(shí)驗(yàn)21 ACL包過濾實(shí)驗(yàn)任務(wù)一：配置基本ACL本實(shí)驗(yàn)任務(wù)主要是通過在路由器上實(shí)施基本ACL來禁止PCA訪問PCB，使學(xué)員熟悉基本ACL的配置和作用步驟一：建立物理連接并初始化路由器配置按實(shí)驗(yàn)組網(wǎng)圖進(jìn)行物理連接并檢查設(shè)備的軟件版本及配置信息，確保各設(shè)備軟件版本符合要求，所有配置為初始狀態(tài)。如果配置不符合要求，請(qǐng)學(xué)員在用戶視圖下擦除設(shè)備中的配置文件，然后重啟設(shè)備以使系統(tǒng)采用缺省的配置參數(shù)進(jìn)行初始化。步驟二：配置IP地址及路由 IP地址列表設(shè)備名稱接口IP地址網(wǎng)關(guān)RTAS6/0/24-G0/0/24-RTB

2、S6/0/24-G0/0/24-PCA-/24PCB-/24按0所示在PC上配置IP地址和網(wǎng)關(guān)。配置完成后，在Windows操作系統(tǒng)的【開始】里選擇【運(yùn)行】，在彈出的窗口里輸入CMD，然后在【命令提示符】下用ipconfig命令來查看所配置的IP地址和網(wǎng)關(guān)是否正確。學(xué)員可自己選擇在路由器上配置靜態(tài)路由或任一種動(dòng)態(tài)路由，來達(dá)到全網(wǎng)互通配置完成后，請(qǐng)?jiān)赑CA上通過Ping命令來驗(yàn)證PCA與路由器、PCA與PCB之間的可達(dá)性。其結(jié)果應(yīng)該可達(dá)。如果不可達(dá)，請(qǐng)參考本教材相關(guān)

3、章節(jié)來檢查路由協(xié)議是否設(shè)置正確。步驟三：ACL應(yīng)用規(guī)劃本實(shí)驗(yàn)的目的是使PCA不能訪問PCB，也就是PC之間不可達(dá)。請(qǐng)學(xué)員考慮如何在網(wǎng)絡(luò)中應(yīng)用ACL包過濾的相關(guān)問題：l 需要使用何種ACL？l ACL規(guī)則的動(dòng)作是deny 還是permit？l ACL規(guī)則中的反掩碼應(yīng)該是什么？l ACL包過濾應(yīng)該應(yīng)用在路由器的哪個(gè)接口的哪個(gè)方向上？下面是有關(guān)ACL規(guī)劃的答案：l 本實(shí)驗(yàn)?zāi)康氖且筆CA訪問PCB，僅使用源IP地址就能夠識(shí)別PCA發(fā)出的數(shù)據(jù)報(bào)文，因此使用基本ACL即可。l 本實(shí)驗(yàn)?zāi)康氖且筆C之間不可達(dá)，因此ACL規(guī)則的動(dòng)作是deny。l 本實(shí)驗(yàn)中只需要限制從單臺(tái)PC發(fā)出的報(bào)文，因此反掩碼設(shè)置為0

4、.0.0.0。l 因?yàn)樾枰筆CA訪問PCB，所以可以在RTA連接PCA的接口G0/0上應(yīng)用ACL，方向?yàn)镮nbound。步驟四：配置基本ACL并應(yīng)用首先要在RTA上配置開啟防火墻功能并設(shè)置防火墻的缺省過濾方式，請(qǐng)?jiān)谙旅娴目崭裰醒a(bǔ)充完整的命令：RTA firewall enableRTAfirewall default permit其次配置基本ACL，基本ACL的編號(hào)范圍是 20002999，請(qǐng)?jiān)谙旅娴目崭裰醒a(bǔ)充完整的命令：RTAacl number 2001 RTA-acl-basic-2001rule deny source 最后要在RTA的接口上應(yīng)

5、用ACL才能確保ACL生效，請(qǐng)?jiān)谙旅娴目崭裰袑懗鐾暾脑谡_的接口正確的方向上應(yīng)用該ACL的配置命令：RTA-GigabitEthernet0/0firewall packet-filter 2001 inbound步驟五：驗(yàn)證防火墻作用及查看在PCA上使用Ping命令來測(cè)試從PCA到PCB的可達(dá)性，結(jié)果是ping包返回目的網(wǎng)段不可達(dá)同時(shí)在RTA上通過命令display acl 2001查看ACL的統(tǒng)計(jì)，根據(jù)其輸出信息顯示可以看Rule 0 8 times matched,根據(jù)該顯示可以看到有數(shù)據(jù)報(bào)文命中了ACL中定義的規(guī)則。在RTA上通過display firewall-statistics

6、 all命令查看所有的火墻的統(tǒng)計(jì)信息，依據(jù)該命令輸出信息可以看到： Firewall is enable, default filtering method is permit. Interface: GigabitEthernet0/0 In-bound Policy: acl 2001試驗(yàn)任務(wù)二：配置高級(jí)ACL本實(shí)驗(yàn)任務(wù)是通過在路由器上實(shí)施高級(jí)ACL來禁止從PCA到網(wǎng)絡(luò)/24的FTP數(shù)據(jù)流，來使學(xué)員熟悉高級(jí)ACL的配置和作用。步驟一：建立物理連接并初始化路由器配置按實(shí)驗(yàn)組網(wǎng)圖進(jìn)行物理連接并檢查設(shè)備的軟件版本及配置信息，確保各設(shè)備軟件版本符合要求，所有配置為初始狀態(tài)。如

7、果配置不符合要求，請(qǐng)學(xué)員在用戶視圖下擦除設(shè)備中的配置文件，然后重啟設(shè)備以使系統(tǒng)采用缺省的配置參數(shù)進(jìn)行初始化。步驟二：ACL應(yīng)用規(guī)劃本實(shí)驗(yàn)的目的是禁止從PCA到網(wǎng)絡(luò)/24的FTP數(shù)據(jù)流，但允許其它數(shù)據(jù)流通過。請(qǐng)學(xué)員考慮如何在網(wǎng)絡(luò)中應(yīng)用ACL包過濾的相關(guān)問題：l 需要使用何種ACL？l ACL規(guī)則的動(dòng)作是deny 還是permit？l ACL規(guī)則中的反掩碼應(yīng)該是什么？l ACL包過濾應(yīng)該應(yīng)用在路由器的哪個(gè)接口的哪個(gè)方向上？下面是有關(guān)ACL規(guī)劃的答案：l 本實(shí)驗(yàn)?zāi)康氖且箯腜CA到網(wǎng)絡(luò)/24的FTP數(shù)據(jù)流。需要使用協(xié)議端口號(hào)來識(shí)別PCA發(fā)出的FTP數(shù)據(jù)報(bào)

8、文，因此必須使用高級(jí)ACL。l 本實(shí)驗(yàn)?zāi)康氖且筆C之間不可達(dá)，因此ACL規(guī)則的動(dòng)作是deny。l 本實(shí)驗(yàn)中只需要限制從單臺(tái)PC發(fā)出的到網(wǎng)絡(luò)/24的報(bào)文，因此需要設(shè)置源IP地址反掩碼為，目的IP反掩碼為55。l 因?yàn)樾枰筆CA發(fā)出的數(shù)據(jù)，所以可以在RTA連接PCA的接口G0/0上應(yīng)用ACL，方向?yàn)閕nbound。步驟三：配置高級(jí)ACL并應(yīng)用首先要在RTA上配置開啟防火墻功能并設(shè)置防火墻的缺省過濾方式，請(qǐng)?jiān)谙旅娴目崭裰醒a(bǔ)充完整的命令：RTA firewall enableRTAfirewall default permit其次配置高級(jí)ACL，

9、高級(jí)ACL的編號(hào)范圍是30003999，請(qǐng)?jiān)谙旅娴目崭裰醒a(bǔ)充完整的命令：RTAacl number 3002 RTA-acl-adv-3002 rule deny tcp source destination 55 destination-port eq ftp RTA-acl-adv-3002 rule permit ip source destination 55最后要在RTA的接口上應(yīng)用ACL才能確保ACL生效，請(qǐng)?jiān)谙旅娴目崭裰袑懗鐾暾脑谡_的接口正確的方向上應(yīng)用該ACL的配置命令：RTA-GigabitEthernet0/0firewall packet-filter 3002 inbound步驟四：驗(yàn)證防火墻作用及查看在PCA上使用Ping命令來測(cè)試從PCA到PCB的可達(dá)性，結(jié)果是可達(dá) 在PCB上開啟FTP服務(wù)，然后在PCA上使用FTP客戶端軟件連接到PCB,結(jié)果應(yīng)該是FTP請(qǐng)求被拒絕 同時(shí)在RTA上通過命令display acl 3002查看ACL的統(tǒng)計(jì)，根據(jù)其輸出信息顯示可以看Rule 0 6 times matched, Rule 5 1 times matched,根據(jù)該顯示