ACL配置实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ACL配置实验
一、实验目的:
深入理解包过滤防火墙的工作原理
二、实验内容:
练习使用Packet Tracer模拟软件配置ACL
三、实验要求
A.拓扑结构如下图所示,1,2,3是主机,4是服务器
1、配置主机,服务器与路由器的IP地址,使网络联通;
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;
B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)
1、配置ACL 限制远程登录(telnet)到路由器的主机。
路由器R0只允许192.168.2.2 远程登录(telnet)。
2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。
3、配置ACL 禁止特点的协议端口通讯。
禁止192.168.2.2 使用www (80)端口访问192.168.1.0
禁止192.168.2.3 使用dns (53)端口访问192.168.1.0
3、验证ACL 规则,检验并查看ACL。
四、实验步骤
1、配置主机,服务器与路由器的IP地址,使网络联通;
PC0 ping PC2
PC1 ping 服务器
服务器ping PC0
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2
Router(config)#access-list 1 permit any
Router(config)#int f 0/1
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
pc1 ping pc2和服务器
pc0 ping pc2和服务器,可以ping通
删除该条ACL
Router>en
Router#show access-list
Standard IP access list 1
deny host 192.168.1.2 (8 match(es))
permit any (8 match(es))
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list standard soft
Router(config-std-nacl)#no access-list 1
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show access-list
Standard IP access list soft
PC1重新ping PC2和服务器,可以ping通
3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;
更改前
更改acl
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 101 deny tcp 192.168.1.2 255.255.255.0 192.168.2.2 255.255.255.0 eq 80
Router(config)#access-list 101 permit ip any any
Router(config)#int f 0/1
Router(config-if)#ip access-group 101 out
Pc1不能访问服务器的www服务pc0 可以
Pc1 可以ping 通服务器删除ACL
Router#show access-list
Standard IP access list soft
Extended IP access list 101
deny tcp 0.0.0.2 255.255.255.0 0.0.0.2 255.255.255.0 eq www (65 match(es))
permit ip any any (9 match(es))
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list extended 101
Router(config-ext-nacl)#no access-list 101
Router(config)#exit
Pc1又可以成功访问服务器的www服务。