有状态及基于上下文ACL配置实验..doc

有状态及基于上下文ACL配置实验 实训目的： 掌握反射ACL、CBAC ACL的配置应用方法。 理解反射ACL、CBAC ACL防范攻击的技术的原理。 实训环境： 采用GNS3模拟网络，拓扑图如下图所示。 实训内容： 采用GNS3完成以下配置。 （1）配置反射ACL，拒绝所有外网主机对内网的主动TCP、UDP、ICMP连接。 （2）配置基于上下文的ACL，拒绝所有外网主机对内网的主动TCP、UDP、ICMP连接。 实训步骤： 1、建立网络拓扑 （1）启动GNS3，开始—〉所有程序—〉GNS3—〉GNS3 （2）从左侧“节点类型”窗口中选择并拖动“Router c3600”路由器1台，“Ethernet Switch”交换机1台，“host”主机3台到扑图中。 （4）配置VPC接口 双击PCa图标，打开“节点配置”窗口，如图所示，设置本地端口和远程端口。 （3）点击“添加链接”命令按钮，选择“Manual”，手动选择设备接口进行连接网线。 2、PC配置 开始—〉所有程序—〉GNS3—〉VPCS （1）使用show命令列出所有PC （2）设置PCa、PCb、 PCc的IP地址 3、配置交换机 双击交换图标，打开“节点配置”窗口，如图所示。 4、配置路由器IP地址，使网络连通。 选择并右击路由器图标，选择“开始”，启动路由，再右击路由器图标，选择“Console”打开控制台对路由器进行配置。 interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 92 ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 21 48 ! interface FastEthernet0/1 ip address 97 52 测试从PCa ping PCb，PCa ping PCc, PCc ping PCb是否连通。 5、反射ACL配置参考。 interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 92 ip access-group eacl-in2out in ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 21 48 ip access-group eacl-in2out in ! interface FastEthernet0/1 ip address 97 ip access-group eacl-out2in in duplex auto speed auto ! ip access-list extended eacl-in2out permit tcp any any reflect rf-tcp permit udp any any reflect rf-udp permit icmp any any reflect rf-icmp ip access-list extended eacl-out2in deny ip 27 any evaluate rf-tcp evaluate rf-udp evaluate rf-icmp permit tcp any host 22 eq www permit tcp any host 22 eq ftp permit tcp any host 22 eq ftp-data permit icmp any host 22 permit tcp any 12 eq 22 deny tcp any any deny udp any any deny icmp any any permit ip any any 5、基于上下文的ACL配置参考。 ip inspect udp idle-time 5 ip inspect tcp synwait-time 5 ip inspect tcp max-incomplete host 100 block-time 0 ip inspect name cbac tcp ip inspect name cbac udp ip inspect name cbac ftp ip inspect name cabc icmp ! ip inspect name cbac-in ftp interface Fa