ACL包過濾實驗

1、0 ACL包過濾實驗京東翰林H3C指導老師分享 實驗21 ACL包過濾實驗任務一：配置基本ACL本實驗任務主要是通過在路由器上實施基本ACL來禁止PCA訪問PCB，使學員熟悉基本ACL的配置和作用步驟一：建立物理連接并初始化路由器配置按實驗組網(wǎng)圖進行物理連接并檢查設備的軟件版本及配置信息，確保各設備軟件版本符合要求，所有配置為初始狀態(tài)。如果配置不符合要求，請學員在用戶視圖下擦除設備中的配置文件，然后重啟設備以使系統(tǒng)采用缺省的配置參數(shù)進行初始化。步驟二：配置IP地址及路由 IP地址列表設備名稱接口IP地址網(wǎng)關(guān)RTAS6/0/24-G0/0/24-RTB

2、S6/0/24-G0/0/24-PCA-/24PCB-/24按0所示在PC上配置IP地址和網(wǎng)關(guān)。配置完成后，在Windows操作系統(tǒng)的【開始】里選擇【運行】，在彈出的窗口里輸入CMD，然后在【命令提示符】下用ipconfig命令來查看所配置的IP地址和網(wǎng)關(guān)是否正確。學員可自己選擇在路由器上配置靜態(tài)路由或任一種動態(tài)路由，來達到全網(wǎng)互通配置完成后，請在PCA上通過Ping命令來驗證PCA與路由器、PCA與PCB之間的可達性。其結(jié)果應該可達。如果不可達，請參考本教材相關(guān)

3、章節(jié)來檢查路由協(xié)議是否設置正確。步驟三：ACL應用規(guī)劃本實驗的目的是使PCA不能訪問PCB，也就是PC之間不可達。請學員考慮如何在網(wǎng)絡中應用ACL包過濾的相關(guān)問題：l 需要使用何種ACL？l ACL規(guī)則的動作是deny 還是permit？l ACL規(guī)則中的反掩碼應該是什么？l ACL包過濾應該應用在路由器的哪個接口的哪個方向上？下面是有關(guān)ACL規(guī)劃的答案：l 本實驗目的是要禁止PCA訪問PCB，僅使用源IP地址就能夠識別PCA發(fā)出的數(shù)據(jù)報文，因此使用基本ACL即可。l 本實驗目的是要使PC之間不可達，因此ACL規(guī)則的動作是deny。l 本實驗中只需要限制從單臺PC發(fā)出的報文，因此反掩碼設置為0

4、.0.0.0。l 因為需要禁止PCA訪問PCB，所以可以在RTA連接PCA的接口G0/0上應用ACL，方向為Inbound。步驟四：配置基本ACL并應用首先要在RTA上配置開啟防火墻功能并設置防火墻的缺省過濾方式，請在下面的空格中補充完整的命令：RTA firewall enableRTAfirewall default permit其次配置基本ACL，基本ACL的編號范圍是 20002999，請在下面的空格中補充完整的命令：RTAacl number 2001 RTA-acl-basic-2001rule deny source 最后要在RTA的接口上應

5、用ACL才能確保ACL生效，請在下面的空格中寫出完整的在正確的接口正確的方向上應用該ACL的配置命令：RTA-GigabitEthernet0/0firewall packet-filter 2001 inbound步驟五：驗證防火墻作用及查看在PCA上使用Ping命令來測試從PCA到PCB的可達性，結(jié)果是ping包返回目的網(wǎng)段不可達同時在RTA上通過命令display acl 2001查看ACL的統(tǒng)計，根據(jù)其輸出信息顯示可以看Rule 0 8 times matched,根據(jù)該顯示可以看到有數(shù)據(jù)報文命中了ACL中定義的規(guī)則。在RTA上通過display firewall-statistics

6、 all命令查看所有的火墻的統(tǒng)計信息，依據(jù)該命令輸出信息可以看到： Firewall is enable, default filtering method is permit. Interface: GigabitEthernet0/0 In-bound Policy: acl 2001試驗任務二：配置高級ACL本實驗任務是通過在路由器上實施高級ACL來禁止從PCA到網(wǎng)絡/24的FTP數(shù)據(jù)流，來使學員熟悉高級ACL的配置和作用。步驟一：建立物理連接并初始化路由器配置按實驗組網(wǎng)圖進行物理連接并檢查設備的軟件版本及配置信息，確保各設備軟件版本符合要求，所有配置為初始狀態(tài)。如

7、果配置不符合要求，請學員在用戶視圖下擦除設備中的配置文件，然后重啟設備以使系統(tǒng)采用缺省的配置參數(shù)進行初始化。步驟二：ACL應用規(guī)劃本實驗的目的是禁止從PCA到網(wǎng)絡/24的FTP數(shù)據(jù)流，但允許其它數(shù)據(jù)流通過。請學員考慮如何在網(wǎng)絡中應用ACL包過濾的相關(guān)問題：l 需要使用何種ACL？l ACL規(guī)則的動作是deny 還是permit？l ACL規(guī)則中的反掩碼應該是什么？l ACL包過濾應該應用在路由器的哪個接口的哪個方向上？下面是有關(guān)ACL規(guī)劃的答案：l 本實驗目的是要禁止從PCA到網(wǎng)絡/24的FTP數(shù)據(jù)流。需要使用協(xié)議端口號來識別PCA發(fā)出的FTP數(shù)據(jù)報

8、文，因此必須使用高級ACL。l 本實驗目的是要使PC之間不可達，因此ACL規(guī)則的動作是deny。l 本實驗中只需要限制從單臺PC發(fā)出的到網(wǎng)絡/24的報文，因此需要設置源IP地址反掩碼為，目的IP反掩碼為55。l 因為需要禁止PCA發(fā)出的數(shù)據(jù)，所以可以在RTA連接PCA的接口G0/0上應用ACL，方向為inbound。步驟三：配置高級ACL并應用首先要在RTA上配置開啟防火墻功能并設置防火墻的缺省過濾方式，請在下面的空格中補充完整的命令：RTA firewall enableRTAfirewall default permit其次配置高級ACL，

9、高級ACL的編號范圍是30003999，請在下面的空格中補充完整的命令：RTAacl number 3002 RTA-acl-adv-3002 rule deny tcp source destination 55 destination-port eq ftp RTA-acl-adv-3002 rule permit ip source destination 55最后要在RTA的接口上應用ACL才能確保ACL生效，請在下面的空格中寫出完整的在正確的接口正確的方向上應用該ACL的配置命令：RTA-GigabitEthernet0/0firewall packet-filter 3002 inbound步驟四：驗證防火墻作用及查看在PCA上使用Ping命令來測試從PCA到PCB的可達性，結(jié)果是可達 在PCB上開啟FTP服務，然后在PCA上使用FTP客戶端軟件連接到PCB,結(jié)果應該是FTP請求被拒絕 同時在RTA上通過命令display acl 3002查看ACL的統(tǒng)計，根據(jù)其輸出信息顯示可以看Rule 0 6 times matched, Rule 5 1 times matched,根據(jù)該顯示