实验五访问控制列表.docVIP

实验五、访问控制列表 5.1实验目的 1．熟悉路由器的包过滤的核心技术：访问控制列表。 2. 掌握访问控制列表的相关知识。 3. 掌握访问控制列表的应用，灵活设计防火墙。 5.2 设备需求 (1) 2台路由器。 (2) 1～2台交换机(可选)。 (2) 2～5台PC机。 (3) 2根Console控制台电缆(一端接交换机Console端口，一端接PC机串口)。 (4) 2根V.35电缆。 5.3 实验环境 图5-1 访问控制列表配置实验 5.4实验内容和步骤 1. 基本访问控制列表(序号为2000～2999) 基本访问控制列表只使用数据包的源地址来判断数据包，所以它只能以源地址来区分数据包，源相同而目的不同的数据包也只能采取同一种策略。所以利用标准访问控制列表，我们只能粗略的区别对待网内的用户群，那些主机能访问外部网，那些不能。 在实验环境中，我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络，则只需在路由器上进行如下配置即可。 (1) 配置访问控制列表 在路由器RTA上配置： 进入超级终端，进入路由器的系统视图。 [RTA] firewall enable [RTA] interface GigabitEthernet0/0 [RTA-GigabitEthernet0/0] ip address 202.0.0.1 24 [RTA-GigabitEthernet0/0] interface Serial5/0 [RTA-Serial5/0] ip address 192.0.0.1 24 [RTA-Serial5/0] quit [RTA] rip [RTA-rip-1] network 192.0.0.0 [RTA-rip-1] network 202.0.0.0 [RTA-rip-1] quit 允许IP地址是202.0.0.2的特定主机访问外部网络，而禁止该网段的其他主机访问外部网络。 [RTA] acl number 2001 [RTA-acl-basic-2001] rule permit source 202.0.0.2 0.0.0.0 [RTA-acl-basic-2001] rule deny source 202.0.0.2 0.0.0.255 [RTA-acl-basic-2001] quit [RTA] interface Serial5/0 [RTA-Serial5/0] firewall packet-filter 2001 outbound [RTA] display ip routing-table Routing Tables: Public Destinations : 8 Routes : 8 Destination/Mask Proto Pre Cost NextHop Interface 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 192.0.0.0/24 Direct 0 0 192.0.0.1 S5/0 192.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 192.0.0.2/32 Direct 0 0 192.0.0.2 S5/0 202.0.0.0/24 Direct 0 0 202.0.0.1 GE0/0 202.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 202.0.1.0/24 RIP 100 1 192.0.0.2 S5/0 在路由器RTB上配置： [RTA] interface GigabitEthernet0/0 [RTA-GigabitEthernet0/0] ip address 202.0.1.1 24 [RTA-GigabitEthernet0/0] interface Serial5/0 [RTA-Serial5/0] ip address 192.0.0.2 24 [RTA-Serial5/0] quit [RTA] rip