- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
有状态及基于上下文ACL配置实验.
有状态及基于上下文ACL配置实验
实训目的:
掌握反射ACL、CBAC ACL的配置应用方法。
理解反射ACL、CBAC ACL防范攻击的技术的原理。
实训环境:
采用GNS3模拟网络,拓扑图如下图所示。
实训内容:
采用GNS3完成以下配置。
(1)配置反射ACL,拒绝所有外网主机对内网的主动TCP、UDP、ICMP连接。
(2)配置基于上下文的ACL,拒绝所有外网主机对内网的主动TCP、UDP、ICMP连接。
实训步骤:
1、建立网络拓扑
(1)启动GNS3,开始—〉所有程序—〉GNS3—〉GNS3
(2)从左侧“节点类型”窗口中选择并拖动“Router c3600”路由器1台,“Ethernet Switch”交换机1台,“host”主机3台到扑图中。
(4)配置VPC接口
双击PCa图标,打开“节点配置”窗口,如图所示,设置本地端口和远程端口。
(3)点击“添加链接”命令按钮,选择“Manual”,手动选择设备接口进行连接网线。
2、PC配置
开始—〉所有程序—〉GNS3—〉VPCS
(1)使用show命令列出所有PC
(2)设置PCa、PCb、 PCc的IP地址
3、配置交换机
双击交换图标,打开“节点配置”窗口,如图所示。
4、配置路由器IP地址,使网络连通。
选择并右击路由器图标,选择“开始”,启动路由,再右击路由器图标,选择“Console”打开控制台对路由器进行配置。
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 92
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 21 48
!
interface FastEthernet0/1
ip address 97 52
测试从PCa ping PCb,PCa ping PCc, PCc ping PCb是否连通。
5、反射ACL配置参考。
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 92
ip access-group eacl-in2out in
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 21 48
ip access-group eacl-in2out in
!
interface FastEthernet0/1
ip address 97
ip access-group eacl-out2in in
duplex auto
speed auto
!
ip access-list extended eacl-in2out
permit tcp any any reflect rf-tcp
permit udp any any reflect rf-udp
permit icmp any any reflect rf-icmp
ip access-list extended eacl-out2in
deny ip 27 any
evaluate rf-tcp
evaluate rf-udp
evaluate rf-icmp
permit tcp any host 22 eq www
permit tcp any host 22 eq ftp
permit tcp any host 22 eq ftp-data
permit icmp any host 22
permit tcp any 12 eq 22
deny tcp any any
deny udp any any
deny icmp any any
permit ip any any
5、基于上下文的ACL配置参考。
ip inspect udp idle-time 5
ip inspect tcp synwait-time 5
ip inspect tcp max-incomplete host 100 block-time 0
ip inspect name cbac tcp
ip inspect name cbac udp
ip inspect name cbac ftp
ip inspect name cabc icmp
!
ip inspect name cbac-in ftp
interface Fa
您可能关注的文档
最近下载
- 2025款比亚迪宋PLUS EV豪华尊贵旗舰型_用户手册驾驶指南车主车辆说明书电子版.pdf VIP
- 第1课《初三,我来了》课件北师大版心理健康教育九年级全一册.ppt
- 2023全域用户经营白皮书:STAR模型,从用户运营到生意增长.doc VIP
- NBT 35042-2014 水力发电厂通信设计规范.pdf
- 《小学英语单元整体作业设计的实践研究》开题报告.docx VIP
- “三个聚焦”内容个人自查报告.docx VIP
- 2024年充电宝市场现状分析:充电宝全球市场销售额达到224亿元.docx
- 各种烟气焓温、密度、比热计算表.xls VIP
- 考试妇科试题.docx VIP
- 德国科技创新与产业趋势.pptx VIP
文档评论(0)