实验六 访问控制列表ACL配置.doc

实验六 访问控制列表ACL配置 实验目的 1、理解访问控制列表ACL的基本原理； 2、掌握基本和高级访问控制列表的配置方法； 实验要求掌握的步骤实验内容 1000～1999 基本的访问控制列表 2000～2999 高级的访问控制列表 3000～3999 基于MAC地址访问控制列表 4000～4999 二、基本ACL配置 图6.1 基本ACL配置示意图 禁IP（基本ACL配置）配置： [RouterA]acl number 2100 // 创建编号为2100的IPv4基本ACL，并进入IPv4基本ACL视图 [RouterA-acl-basic-2100]rule 10 permit source 202.38.1.254 0.0.0.255 // 创建规则，允许源地址为202.38.1.254/24的报文 [RouterA-acl-basic-2100]rule 11 deny source 192.168.4.11 0.0.0.255 // 创建规则，拒绝源地址为192.168.4.11/24的报文 [RouterA-acl-basic-2100]quit [RouterA]interface Ethernet 0/0 [RouterA-Ethernet0/0]firewall packet-filter 2100 outbound // 使用IPv4 ACL 2100对接口Ethernet0/0出方向上的报文进行过滤 [RouterA-Ethernet0/0]firewall enable // 使能IPv4防火墙功能 [RouterA] 注意：RouterA与RouterB之间必须有路由可达。 查看禁IP（基本ACL配置）配置效果： 配置前： 在Pc1上运行：ping 202.38.1.254 ping 192.168.4.11 图6.2 图6.3 配置后： 在Pc1上运行：ping 202.38.1.254 ping 192.168.4.11 图6.4 图6.5 三、高级ACL配置 图6.6 高级ACL配置示意图 禁协议（高级ACL配置）配置： [RouterA]acl number 3100 // 创建编号为3100的IPv4高级ACL，并进入IPv4高级ACL视图 [RouterA-acl-adv-3100]rule 10 permit icmp source any destination 192.168.4.11 0.0.0.255 // 创建规则，允许ping 192.168.4.11操作 [RouterA-acl-adv-3100]rule 11 deny tcp source any destination 192.168.4.11 0.0.0.255 destination-port eq 3389 // 创建规则，拒绝telnet 192.168.4.11操作 [RouterA-acl-adv-3100]quit [RouterA]interface Serial 0/0 [RouterA-Serial0/0]firewall packet-filter 3100 outbound // 使用IPv4 ACL 3100对接口Serial0/0出方向上的报文进行过滤 [RouterA-Serial0/0]firewall enable // 使能IPv4防火墙功能 [RouterA] 查看禁协议（高级ACL配置）配置效果： 配置前： 在Pc1上运行：ping 192.168.4.11 图6.7 在Pc1上运行：telnet 192.168.4.11 “开始”→“所有程序”→“附件”→“远程桌面连接” 图6.8 可以正确登陆到远程计算机上。 配置后： 在Pc1上运行：ping 192.168.4.11 图6.9 在Pc1上运行：telnet 192.168.4.11 “开始”→“所有程序”→“附件”→“远程桌面连接” 图6.10 注意： 在配置之前进行“远程桌面连接”时可能会出现“无法连接到远程计算机”的提示，这时，应进行如下设置： （1）对被连接的计算机（本例中的Pc3），更改其“用户帐号”，使得计算机按用户帐号和用户密码（密码不能为空）启动。 （2）对被连接的计算机（本例中的Pc3），选上允许用户远程连接到计算机我的电脑属性 图6.11 进行上面两项设置后，就可以正确登陆到远程计算机上。