您的位置:360文档中心› acl配置实验

acl配置实验

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ACL配置实验

一、实验目的:

深入理解包过滤防火墙的工作原理

二、实验容:

练习使用Packet Tracer模拟软件配置ACL

三、实验要求

A.拓扑结构如下图所示,1,2,3是主机,4是服务器

1、配置主机,服务器与路由器的IP地址,使网络联通;

2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;

3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;

B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)

1、配置ACL 限制远程登录(telnet)到路由器的主机。

路由器R0只允许192.168.2.2 远程登录(telnet)。

2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。

3、配置ACL 禁止特点的协议端口通讯。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0

禁止192.168.2.3 使用dns (53)端口访问192.168.1.0

3、验证ACL 规则,检验并查看ACL。

四、实验步骤

1、配置主机,服务器与路由器的IP地址,使网络联通;

PC0 ping PC2

PC1 ping 服务器

服务器ping PC0

2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2

Router(config)#access-list 1 permit any

Router(config)#int f 0/1

Router(config-if)#ip access-group 1 out

Router(config-if)#exit

Router(config)#exit

pc1 ping pc2和服务器

pc0 ping pc2和服务器,可以ping通

删除该条ACL

Router>en

Router#show access-list

Standard IP access list 1

deny host 192.168.1.2 (8 match(es))

permit any (8 match(es))

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list standard soft

Router(config-std-nacl)#no access-list 1

Router(config)#exit

Router#

%SYS-5-CONFIG_I: Configured from console by console

Router#show access-list

Standard IP access list soft

PC1重新ping PC2和服务器,可以ping通

3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL;

更改前

更改acl

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 101 deny tcp 192.168.1.2 255.255.255.0 192.168.2.2 255.255.255.0 eq 80

Router(config)#access-list 101 permit ip any any

Router(config)#int f 0/1

Router(config-if)#ip access-group 101 out

Pc1不能访问服务器的www服务pc0 可以

Pc1 可以ping 通服务器删除ACL

Router#show access-list

Standard IP access list soft

Extended IP access list 101

deny tcp 0.0.0.2 255.255.255.0 0.0.0.2 255.255.255.0 eq (65 match(es))

permit ip any any (9 match(es))

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list extended 101

Router(config-ext-nacl)#no access-list 101

Router(config)#exit

相关文档
最新文档