交換機(jī)基本配置及交換機(jī)常用配置命令的使用

實(shí)驗(yàn)八ACL和包過濾防火墻實(shí)驗(yàn)----包過濾控制訪問列表一、實(shí)驗(yàn)?zāi)繕?biāo)1、 掌握路由器的包過濾的核心技術(shù)：訪問控制ACL；2、 掌握基本和高級(jí)訪問控制列表的配置方法；3、 掌握訪問控制列表的應(yīng)用，靈活設(shè)計(jì)包過濾防火墻。二、實(shí)驗(yàn)環(huán)境組網(wǎng)圖如圖8-1所示。RTA RTBpci pc2 Pc3 pc4192.168.10.2/24192.168.10.3/24192.168.11.2/24192.168.11.3/24圖8-1ACL和包過濾防火墻實(shí)驗(yàn)組網(wǎng)示意圖三、實(shí)驗(yàn)要求及參考步驟1、連接設(shè)備并配置IP地址。根據(jù)組網(wǎng)圖7-1連接各設(shè)備，并參考下表設(shè)置各臺(tái)pc機(jī)的IP地址和缺省網(wǎng)關(guān)。pc1pc2pc3pc4IP地址192.168.10.2/24192.168.10.2/24192.168.10.2/24192.168.10.2/24網(wǎng)關(guān)192.168.10.1192.168.10.1192.168.10.1192.168.10.12、實(shí)驗(yàn)任務(wù)實(shí)驗(yàn)任務(wù)一：配置網(wǎng)絡(luò)互連互通在進(jìn)行ACL訪問控制列表和包過濾防火墻實(shí)驗(yàn)之前，必須先實(shí)現(xiàn)網(wǎng)絡(luò)之間的互連互通，即在路由器上配置接口IP地址和路由協(xié)議。1）在路由器上配置接口IP地址RTA上的配置<Quidway>system-view[Quidway]sysnameRTA[RTA] interfaceEthernet0/0[RTA-Ethernet0/0]ipaddress192.168.10.124[RTA-Ethernet0/0]interfaceserial3/1[RTA-serial3/1]ipaddress202.1.10.130RTB上的配置<Quidway>system-view[Quidway]sysnameRTB[RTB] interfaceEthernet0/0[RTB-Ethernet0/0]ipaddress192.168.11.124[RTB-Ethernet0/0]interfaceserial0/0[RTB-serial3/1]ipaddress202.1.10.2302）配置靜態(tài)路由：分別在RTA、RTB上配置到對端以太網(wǎng)段的靜態(tài)路由。[RTA] iproute-static192.168.11.0255.255.255.0202.1.10.2preference60[RTB] iproute-static192.168.10.0255.255.255.0202.1.10.1preference60請檢查pc1、pc2、pc3、pc4四臺(tái)主機(jī)之間是否能夠連通。實(shí)驗(yàn)任務(wù)二基本訪問控制列表的配置用一臺(tái)路由器RTA下面的局域網(wǎng)模擬企業(yè)網(wǎng)A，用另一臺(tái)路由器RTB下面的局域網(wǎng)模擬外部網(wǎng)B?；驹L問控制列表只能使用數(shù)據(jù)包的源地址來判斷數(shù)據(jù)包，所以它只能粗略的區(qū)別對待網(wǎng)內(nèi)的用戶群，哪些主機(jī)能訪問外網(wǎng)，哪些不能。1、 實(shí)驗(yàn)要求：只允許IP地址為192.168.10.2的主機(jī)pc1訪問外網(wǎng)。2、 配置方式：既可在RTA上實(shí)現(xiàn)訪問控制，也可在RTB上配置包過濾，效果是一樣的。方式一：在RTA上實(shí)現(xiàn)訪問控制1）在RTA上配置ACL/創(chuàng)建基本ACL，編號(hào)為2000//創(chuàng)建基本ACL，編號(hào)為2000/[RTA-acl-basic-2000]rule0permitsource192.168.10.20/允許特定主機(jī)訪問外部網(wǎng)絡(luò)（網(wǎng)絡(luò)B）/[RTA-acl-basic-2000]rule1denysource192.168.10.00.0.0.255/禁止同一子網(wǎng)中的其他主機(jī)訪問外部網(wǎng)絡(luò)（網(wǎng)絡(luò)B）/[RTA-acl-basic-2000]quit2） 啟動(dòng)包過濾防火墻并在接口上應(yīng)用ACL,實(shí)現(xiàn)包過濾[RTA]firewallenable /啟動(dòng)防火墻功能/[RTA] interfaceserial3/1[RTA-serial3/1]firewallpacket-filter2000outbound/使訪問列表生效/3） 檢查配置效果：在pc1和pc2上分別ping網(wǎng)絡(luò)B中的pc3和pc4。注：實(shí)驗(yàn)過程中，可以自己在路由器上修改相關(guān)配置試試有何效果。方式二：在RTB上配置包過濾1） 首先在RTA上刪除有關(guān)ACL和firewall的配置[RTA]aclnumber2000[RTA-acl-basic-2000]undorule0[RTA-acl-basic-2000]undorule1[RTA-acl-basic-2000]interfaceserial3/1[RTA-serial3/1]undofirewallpacket-filter2000outbound[RTA-serial3/1]quit2） 在RTB上進(jìn)行配置[RTB] aclnumber2000[RTB-acl-basic-2000]rule0permitsource192.168.10.20[RTB-acl-basic-2000]rule1denysource192.168.10.00.0.0.255[RTB-acl-basic-2000]quit[RTB]firewallenable[RTB]interfaceserial0/0[RTB-serial0/0]firewallpacket-filter2000inbound實(shí)驗(yàn)任務(wù)三：高級(jí)訪問控制列表高級(jí)訪問控制列表不僅使用數(shù)據(jù)包的源地址作為判斷條件，還使用目的地址、協(xié)議號(hào)為判斷條件。所以它可以更加詳細(xì)的區(qū)分?jǐn)?shù)據(jù)包，更好的控制用戶訪問。㈠應(yīng)用高級(jí)訪問控制列表來完成前面基本訪問控制列表完成的功能，以便比較。1、 刪除前面的配置：在進(jìn)行下面的實(shí)驗(yàn)之前，請先在路由器上刪除所有關(guān)于ACL和firewall的配置。[RTB]aclnumber2000[RTB-acl-basic-2000]undorule0[RTB-acl-basic-2000]undorule1[RTB-acl-basic-2000]quit[RTB]interfaceserial0/0[RTB-serial0/0]undofirewallpacket-filter2000inbound2、 在RTA上配置ACL[RTA]acl3000match-orderauto[RTA-acl-sdv-3000]rule0permitipsource192.168.10.20destination192.168.20.00.0.0.255[RTA-acl-basic-3000]rule1denyipsource192.168.10.00.0.0.255destination192.168.20.00.0.0.255[RTA-acl-basic-3000]Quit3、啟動(dòng)包過濾防火墻并在接口上應(yīng)用ACL實(shí)現(xiàn)包過濾[RTA]firewallenable[RTA]interfaceserial3/1[RTA-Serial3/1]firewallpacket-filter3000outbound4、檢查配置效果在pc1和pc2上分別ping網(wǎng)絡(luò)B中的pc3和pc4，只有pc1可以ping通。補(bǔ)充說明：1）高級(jí)訪問控制列表可以實(shí)現(xiàn)更加詳細(xì)的訪問控制，下面是如何實(shí)現(xiàn)這項(xiàng)要求的一個(gè)具體例子:把上面的“2、在RTA上配置ACL”中的“rule0permitipsource192.168.10.20destination192.168.20.00.0.0.255”換成“rule0permitipsource192.168.10.20destination192.168.20.20”，即可以控制主機(jī)pc1只能訪問網(wǎng)絡(luò)B中的pc3,而使用基本訪問控制列表是不能實(shí)現(xiàn)的。2）利用高級(jí)訪問控制列表實(shí)現(xiàn)對上層協(xié)議的過濾，例如：要求對內(nèi)網(wǎng)地址192.168.10.0/25訪問外網(wǎng)不作限制；對于內(nèi)網(wǎng)地址192.168.10.128/25只允許收發(fā)郵件，不允許訪問外網(wǎng)，則ACL配置為：rule0permitipsource192.168.10.00.0.0.127/內(nèi)網(wǎng)地址192.168.01.0/25訪