实验13 标准ACL配置包过滤防火墙

实验 标准ACL 配置包过滤防火墙（在模拟器上做）

一 、实验目的

⏹ 掌握路由器标准访问控制列表（ACL ）的配置与使用。

⏹ 了解包过滤防火墙的基本实现方法。

二 、实验条件

⏹ 华为Quidway R1760路由器二台、网线若干、微机若干台、专用配置电缆二条。 ⏹ 实验拓扑：如下图所示。

三、实验内容

1、 配置四个PC 机的IP 地址和默认网关

2、 按图配置两个路由器R1和R2的端口IP 地址和静态路由

1）配置R1：

[R1]int s0

[R1-s0]ip add 2.2.2.1 255.255.255.0

[R1-s0]undo shutdown

[R1-s0]clock rate 64000

[R1-s0]int e0

[R1-e0]ip add 192.168.0.3 255.255.255.0

[R1-e0]undo shutdown

[R1-e0]quit

[R1]ip route-static 1.1.1.0 255.255.255.0 2.2.2.2 ‘设置本路由器到1.1.1.0网段的静态路由

[R1]ip routing

[R1]dis ip routing-table

[R1]firewall enable ‘本路由器上设置防火墙

[R1]firewall default permit ‘防火墙默认允许所有地址输入输出

[R1]acl 10 ‘创建acl 10规则

[R1-acl-10]rule normal deny source 1.1.1.1 ‘此规则第一条规定拒绝来自信源1.1.1.1的信息

[R1-acl-10]rule normal permit source any ‘此规则第二条规定允许来自其他信源的信息

PC1:192.168.0.1/24 网关:192.168.0.3 PC2:192.168.0.2/24 网关:192.168.0.3

PC3:1.1.1.1/24

网关:1.1.1.3 PC3:1.1.1.2/24 网关:1.1.1.3

[R1-acl-10]quit

[R1]int s0

[R1-Serial0]firewall packet-filter 10 inbound ‘在S0端口的输入方向使用ACL 10进行信息过滤[R1-Serial0]quit

[R1]display acl ‘显示本路由器上创建的所有

2）配置R2：

[R2]int s0

[R2-s0]ip add 2.2.2.2 255.255.255.0

[R2-s0]undo shutdown

[R2-s0]clock rate 64000

[R2-s0]int e0

[R2-e0]ip add 1.1.1.3 255.255.255.0

[R2-e0]undo shutdown

[R2-e0]quit

[R2]ip route-static 192.168.0.0 255.255.255.0 2.2.2.1 ‘设置本路由器到192.168.0.0网段的静态路由[R2]ip routing

[R2]dis ip routing-table

[R2]firewall enable ‘本路由器上设置防火墙

[R2]firewall default permit ‘防火墙默认允许所有地址输入输出

[R2]acl 20 ‘创建acl 20规则

[R2-acl-20]rule normal deny source 192.168.0.1 ‘此规则第一条规定拒绝来自信源192.168.0.1的信息[R2-acl-20]rule normal permit source any ‘此规则第二条规定允许来自其他信源的信息

[R2-acl-20]quit

[R2]int s0

[R2-Serial0]firewall packet-filter 20 inbound ‘在S0端口的输入方向使用ACL 20进行信息过滤[R2-Serial0]quit

[R2]display acl ‘显示本路由器上创建的所有

3、测试

PC1只能PING通PC2，不能PING通PC3和PC4，而PC2只能PING通PC 3、PC4，不能PING通PC1。

PC3只能PING通PC4，不能PING通PC1和PC2，而PC4只能PING通PC 2、PC3，不能PING通PC1。

注意：1）思科规定标准ACL的编号小于100，华为规定标准ACL编号范围2000-2999 2）模拟器中的ACL编号范围按照思科的标准，真实的华为路由器上的ACL编号范围按照华为的标准