计算机网络基础及局域网构建计算机网络基础及局域网构建计算机网络基础及局域网构建课程教学案例22ACL.docxVIP

第一章 网络基础知识 计算机网络基础及局域网构建课程实训项目 PAGE 2 - 计算机网络基础及局域网构建 课程教学案例 计算机技术系 二〇一七 年五月 案例22 ACL包过滤 配置基本ACL 本实验任务主要是通过在路由器上实施基本ACL来禁止PCA访问PCB，使学员熟悉基本ACL的配置和作用 建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，请学员在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化。 配置IP地址及路由 IP地址列表 设备名称 接口 IP地址 网关 RTA S6/0 /24 -- G0/0 /24 -- RTB S6/0 /24 -- G0/0 /24 -- PCA -- /24 PCB -- /24 按 REF _Ref211157374 \n \h 表21-1所示在PC上配置IP地址和网关。配置完成后，在Windows操作系统的【开始】里选择【运行】，在弹出的窗口里输入CMD，然后在【命令提示符】下用ipconfig命令来查看所配置的IP地址和网关是否正确。 学员可自己选择在路由器上配置静态路由或任一种动态路由，来达到全网互通 配置完成后，请在PCA上通过Ping命令来验证PCA与路由器、PCA与PCB之间的可达性。其结果应该可达。如果不可达，请参考本教材相关章节来检查路由协议是否设置正确。 ACL应用规划 本实验的目的是使PCA不能访问PCB，也就是PC之间不可达。请学员考虑如何在网络中应用ACL包过滤的相关问题： 需要使用何种ACL？ ACL规则的动作是deny 还是permit？ ACL规则中的反掩码应该是什么？ ACL包过滤应该应用在路由器的哪个接口的哪个方向上？ 下面是有关ACL规划的答案： 本实验目的是要禁止PCA访问PCB，仅使用源IP地址就能够识别PCA发出的数据报文，因此使用基本ACL即可。 本实验目的是要使PC之间不可达，因此ACL规则的动作是deny。 本实验中只需要限制从单台PC发出的报文，因此反掩码设置为。 因为需要禁止PCA访问PCB，所以可以在RTA连接PCA的接口G0/0上应用ACL，方向为Inbound。 配置基本ACL并应用 首先要在RTA上配置开启防火墙功能并设置防火墙的缺省过滤方式，请在下面的空格中补充完整的命令： [RTA] firewall enable [RTA]firewall default permit 其次配置基本ACL，基本ACL的编号范围是 2000~2999，请在下面的空格中补充完整的命令： [RTA]acl number 2001 [RTA-acl-basic-2001]rule deny source 最后要在RTA的接口上应用ACL才能确保ACL生效，请在下面的空格中写出完整的在正确的接口正确的方向上应用该ACL的配置命令： [RTA-GigabitEthernet0/0]firewall packet-filter 2001 inbound 验证防火墙作用及查看 在PCA上使用Ping命令来测试从PCA到PCB的可达性，结果是ping包返回目的网段不可达 同时在RTA上通过命令display acl 2001查看ACL的统计，根据其输出信息显示可以看 Rule 0 8 times matched,根据该显示可以看到有数据报文命中了ACL中定义的规则。 在RTA上通过display firewall-statistics all命令查看所有的火墙的统计信息，依据该命令输出信息可以看到： Firewall is enable, default filtering method is permit. Interface: GigabitEthernet0/0 In-bound Policy: acl 2001 配置高级ACL 本实验任务是通过在路由器上实施高级ACL来禁止从PCA到网络/24的FTP数据流，来使学员熟悉高级ACL的配置和作用。 建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，请学员在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化。 ACL应用规划 本实验的目的是禁止从PCA到网络/24的FTP数据流，但允许其它数据流通过。请学员考虑如何在网络中应用ACL包过滤的相关问题： 需要使用何种ACL？ ACL规则的动作是deny 还是permit？ ACL规则中的反掩码应该是什么？ ACL包过滤应该应用在路由器的哪个接口的哪个方向上