实训项目七 防火墙配置-学生0426.docVIP

实训项目七 防火墙配置 【实验目的】 熟悉路由器的包过滤的核心技术：ACL 掌握访问控制列表的分类及各自特点 掌握访问控制列表的应用，灵活设计防火墙 【实验仪器和设备】 H3C S3610或H3C E126A交换机2台、H3C MR30-20路由器2台、标准网线2条、计算机2台、V.35线缆一根； 每3名同学为一组。 【实验步骤】 任务一、广域网接口线缆步骤一：连接广域网接口线缆 通过V.35电缆将路由器RTA和RTB广域网接口S/0实现互联，其中连接RTA的V.35电缆外接网络侧为34孔插座，而连接RTB的V.35电缆外接网络侧为34针插头（虽然通常只保留在用的针），由此可以得知路由器RTB的接口S/0是DTE端，而路由器RTA的接口S/0是DCE端步骤二：查看广域网接口信息在RTA上通过命令查看接口Serial /0的信息，根据其输出信息可以看到： Physical layer is synchronous，Virtual Baudrate is bps Interface is , Cable type is 在RTB上通过命令查看接口Serial /0的信息，根据其输出信息可以看到： Physical layer is，Baudrate is bps Interface is , Cable type is 由以上信息可以看到，RTA和RTB的广域网V.35电缆接口工作在同步模式下，目前的传输速率是步骤三：配置广域网接口参数 配置将RTB的接口S/0的传输速率修改为 2Mbps，请在如下的空格中补充完整的配置命令： [RTB-Serial/0]baudrate 座机电话号码 在RTB上执行该命令后，有信息提示：然后配置将RTA的接口S/0的传输速率修改为 2Mbps，请在如下的空格中补充完整的配置命令： [RTA-Serial/0]baudrate 配置完成后通过命令查看接口Serial/0的信息，根据其输出信息可以看到 Physical layer is asynchronous，Baudrate is bps 在RTA的接口Serial /0下作如下配置： [RTA-Serial/0]physical-mode async 如上配置命令的含义是一般情况下，V.35电缆一般只用于方式传输数据。 配置基本ACL本实验任务主要是通过在路由器上实施基本ACL来禁止PCA访问PCB，使学熟悉基本ACL的配置和作用步骤一：建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，请学在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化。 步骤二：配置IP地址及路由按表-1所示在PC上配置IP地址和网关。配置完成后，在Windows操作系统的【开始】里选择【运行】，在弹出的窗口里输入CMD，然后在【命令提示符】下用ipconfig命令来查看所配置的IP地址和网关是否正确。-1 IP地址列表 设备名称 接口 IP地址 网关 RTA S5/0 192.168.1.1/24 -- G0/0 192.168.0.1/24 -- RTB S5/0 192.168.1.2/24 -- G0/0 192.168.2.1/24 -- PCA -- 192.168.0.2/24 192.168.0.1 PCB -- 192.168.2.2/24 192.168.2.1 学可自己选择在路由器上配置静态路由或任一种动态路由，来达到全网互通配置完成后，请在PCA上通过Ping命令来验证PCA与路由器、PCA与PCB之间的可达性。其结果应该可达。如果不可达，请参考教材相关章节来检查路由协议是否设置正确。 步骤三：ACL应用规划 本实验的目的是使PCA不能访问PCB，也就是PC之间不可达。请学考虑如何在网络中应用ACL包过滤的相关问题： 需要使用何种ACL？ ACL规则的动作是deny 还是permit？ ACL规则中的反掩码应该是什么？ACL包过滤应该应用在路由器的哪个接口的哪个方向上？下面是有关ACL规划的答案： 本实验目的是要禁止PCA访问PCB，仅使用源IP地址就能够识别PCA发出的数据报文，因此使用基本ACL即可。 本实验目的是要使PC之间不可达，因此ACL规则的动作是deny。本实验中只需要限制从单台PC发出的报文，因此反掩码设置为0.0.0.0。因为需要禁止PCA访问PCB，所以可以在RTA连接PCA的接口G0/0上应用ACL，方向为Inbound。步骤四：配置基本ACL并应用首先要在RTA上配置开启防火墙功能并设置防火墙的缺省过滤方式，请在下面的空格中补充完整的命令