有状态及基于上下文ACL配置实验..doc

有状态及基于上下文ACL配置实验..doc

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
有状态及基于上下文ACL配置实验.

有状态及基于上下文ACL配置实验 实训目的: 掌握反射ACL、CBAC ACL的配置应用方法。 理解反射ACL、CBAC ACL防范攻击的技术的原理。 实训环境: 采用GNS3模拟网络,拓扑图如下图所示。 实训内容: 采用GNS3完成以下配置。 (1)配置反射ACL,拒绝所有外网主机对内网的主动TCP、UDP、ICMP连接。 (2)配置基于上下文的ACL,拒绝所有外网主机对内网的主动TCP、UDP、ICMP连接。 实训步骤: 1、建立网络拓扑 (1)启动GNS3,开始—〉所有程序—〉GNS3—〉GNS3 (2)从左侧“节点类型”窗口中选择并拖动“Router c3600”路由器1台,“Ethernet Switch”交换机1台,“host”主机3台到扑图中。 (4)配置VPC接口 双击PCa图标,打开“节点配置”窗口,如图所示,设置本地端口和远程端口。 (3)点击“添加链接”命令按钮,选择“Manual”,手动选择设备接口进行连接网线。 2、PC配置 开始—〉所有程序—〉GNS3—〉VPCS (1)使用show命令列出所有PC (2)设置PCa、PCb、 PCc的IP地址 3、配置交换机 双击交换图标,打开“节点配置”窗口,如图所示。 4、配置路由器IP地址,使网络连通。 选择并右击路由器图标,选择“开始”,启动路由,再右击路由器图标,选择“Console”打开控制台对路由器进行配置。 interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 92 ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 21 48 ! interface FastEthernet0/1 ip address 97 52 测试从PCa ping PCb,PCa ping PCc, PCc ping PCb是否连通。 5、反射ACL配置参考。 interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 92 ip access-group eacl-in2out in ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 21 48 ip access-group eacl-in2out in ! interface FastEthernet0/1 ip address 97 ip access-group eacl-out2in in duplex auto speed auto ! ip access-list extended eacl-in2out permit tcp any any reflect rf-tcp permit udp any any reflect rf-udp permit icmp any any reflect rf-icmp ip access-list extended eacl-out2in deny ip 27 any evaluate rf-tcp evaluate rf-udp evaluate rf-icmp permit tcp any host 22 eq www permit tcp any host 22 eq ftp permit tcp any host 22 eq ftp-data permit icmp any host 22 permit tcp any 12 eq 22 deny tcp any any deny udp any any deny icmp any any permit ip any any 5、基于上下文的ACL配置参考。 ip inspect udp idle-time 5 ip inspect tcp synwait-time 5 ip inspect tcp max-incomplete host 100 block-time 0 ip inspect name cbac tcp ip inspect name cbac udp ip inspect name cbac ftp ip inspect name cabc icmp ! ip inspect name cbac-in ftp interface Fa

文档评论(0)

fglgf11gf21gI + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档