实验六访问控制列表上两台路由器.pptVIP

1 实验六 访问控制列表 ISSUE 2.0 实验报告 1. 实验内容：访问控制列表 2. 实验目的：了解访问控制列表和防火墙的应用 3. 实验环境 H3C S系列路由器2台，Comware操作系统，PC机2台，标准网线若干 4. 实验步骤 4.1 基本访问控制列表 1. 画出网络拓扑，并按拓扑图连接网络。 4.1 基本访问控制列表 2. 配置主机，包括每一台主机的IP地址、子网掩码和网关地址。 4.1 基本访问控制列表 3. 配置路由器（二台中的上面一台，注意不要选错）串口和以太口的IP地址。输入下列命令： [H3C]sysname RTA [RTA] interface serial 5/0 [RTA –Serial5/0]ip address 24 [RTA –Serial5/0]quit [RTA]interface GigabitEthernet 0/0 [RTA-GigabitEthernet0/0]ip address 24 [RTA-GigabitEthernet0/0]quit [RTA] 4.1 基本访问控制列表 4. 配置路由器（二台中的下面一台，注意不要选错）串口和以太口的IP地址。输入下列命令： [H3C]sysname RTB [RTB] Interface serial 1/0 [RTB-Serial1/0]ip address 24 [RTB –Serial1/0]quit [RTB ]Interface Ethernet 0/0 [RTB-Ethernet0/0] ip address 24 [RTB-Ethernet0/0]quit [RTB] 4.1 基本访问控制列表 5. 在RTA上配置RIP路由。输入下列命令： [RTA] rip [RTA -rip-1]network [RTA –rip-1]network 4.1 基本访问控制列表 6. 在RTB上配置RIP路由。输入下列命令： [RTB] rip [RTB-rip-1]network [RTB-rip-1]network 7. 配置完成后，测试PCA与PCB两台主机是否连通（应连通）。 4.1 基本访问控制列表 8.在RTA上启用防火墙，并设置防火墙缺省过滤方式为允许包通过。输入下列命令： [RTA]firewall enable [RTA]firewall default permit 4.1 基本访问控制列表 9.在RTA上配置规则，允许特定主机访问外部网。输入下列命令： [RTA]acl number 2000 [RTA-acl-basic-2000]rule permit source 0 [RTA-acl-basic-2000]rule deny source 55 [RTA-Serial5/0]firewall packet-filter 2000 outbound (或者 [RTA-g0/0]firewall packet-filter 2000 inbound ) 4.1 基本访问控制列表 4.1 基本访问控制列表 4.2 高级访问控制列表 4.2 高级访问控制列表 4.2 高级访问控制列表 4.2 高级访问控制列表 说明 11. 显示访问控制列表。输入下列命令： [RTA]display acl 2000 Basic ACL 2000, named -none-, 2 rules, ACLs step is 5 rule 0 permit source 0 (1 times matched) rule 5 deny source 55 (4 times matched) 1. 将PCA的IP地址改回，在PCB上安装并运行3CDaemon，启动ftp服务器，设置访问目录，创建匿名用户。 2. 在PCA上运行FlashFXP，访问PCB，此时应能正常访问。 3. 在RTA上配置高级访问控制列表，禁止PCA访问PCB的ftp服务器，输入下列命令： [RTA]acl number 3000 [RTA-acl-adv-3000]rule deny tcp source 0 destination 0 destination-port eq ftp [RTA –Serial5/0]firewall packet-filter 3000 outbound (或者[RTA –g0/0]firewall packet-filter 3000 inbound ) * IP包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 未授权用户 公司总部 内部网络 办事处 In