实验九 包过滤防火墙实验

实验九 防火墙——包过滤路由器的安全部署 一、编号标准ACL lo2:3.3.3.3/24 lo2:3.3.3.3/24 实验配置命令顺序如下： 1、R1、R2、R3： ①.配置IP（包括接口ip及环回口ip）。注意：环回口ip的配置可参照实验八命令中的第五页loopback 配置命令。 ②.配置静态路由。 2、测试网络的连通性 ping 8.8.8.8 source 192.168.1.0 //带源ping通，示对方路由器也能ping通本地环回接口 3、在R2上部署编号标准ACL，使得内网网段192.168.1.0/32不能访问外网，其他均能访问，配置如下。 //标准的ACL只能匹配源，不能匹配目的地。标准ACL的编号范围是1-99和1300-1999 //其中“1”是该条访问控制列表的编号。deny表示阻止从哪里发过来的数据。后面接的是反掩码 //由于一旦使用访问列表之后，就会默认deny掉所有流量，因而需要在最后加上一句permit any，表示放行其他的流量。 //接口的in和out方向要以本地路由器为参考点，然后考虑流量的方向。 4、测试ACL的效果，让内网路由器R1访问外网路由器R3，测试192.168.1.0/24、192.168.2.0/24与外网8.8.8.8的连通情况测试。 5、在R2上部署编号标准ACL，使得IP地址192.168.2.0可以TELNET本地，而其他IP地址没法访问，实现安全管理。 //no login表示无需验证，主要方便实验测试，就是不需要密码的意思 //VTY 下调用ACL，一般是in方向 6、测试ACL，在R1和R3上TELNET R2 尝试lo1接口是否能够telnet 12.1.1.2 //注意：若上题改成192.168.1.0.无法访问3.3.3.3，可以访问8.8.8.8，则编号标准ACL无法实现，因为标准ACL只匹配源，不能匹配目的以及具体的端口和。 二、编号拓展ACL lo2:3.3.3.3/24 1、配置IP及静态路由，保证全网连通。 2、在R2上部署编号拓展ACL，使得内网网段192.168.1.0/32不能访问外网主机3.3.3.3的23号端口，192.168.1.0/32网段不能ping通8.8.8.8 3、测试编号拓展ACL 三、命名ACL lo2:3.3.3.3/24 1、配置IP及静态路由，保证全网连通。 2、在R2上部署基于命名的标准ACL，使得内网网段192.168.1.0/32不能访问外网，其他都能访问，配置如下 //standard表示这个是标准访问控制列表，DENYVLAN10是这个访问列表的名字 //这个访问列表应用在f0/0这个端口上，方向是进入路由的方向。 3.请自己写出测试ACL的代码及结果 4.在R2上部署明明拓展ACL，使得内网192.168.1.0无法访问外网主机3.3.3.3的23端口，192.168.1.0网段不能ping通8.8.8.8 //extended表示拓展ACL，DENYSERVICE是名字，建议使用大写，以免和命令弄混了。 5、请自己写出测试ACL的代码及结果 6、管理命名ACL //matches表示多少次的匹配，10是ACL列表的序号，从小到大的顺序 删除ACL（确定删除操作是否完成） 插入ACL（确定插入操作是否完成） 四、时间ACL 1.拓扑图如三所示 2.在R2上部署基于时间的ACL，使得内网网段192.168.1.0/24在工作日上班时间8:30到18:00不能够访问外网。请在GNS3上实现，并说明代码含义。 3.测试你设置的时间ACL是否有效。