实训指导五acl和包过滤防火墙

《实训指导五acl和包过滤防火墙》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、5.1(1)实训项目五ACL和包过滤防火墙实验实验目的掌握路山器的包过滤的核心技术：访问控制列表ACL5.3理论知识1、背景在实际的企业网或者校园网络屮为了保证信息安全以及权限控制，都需要分别对待网内的用户群。冇的能够访问外部，冇的则不能。这些设置往往都是在整修网络的出口或是入口(一台路由器上)上通过引用ACL访问控制列表的包过滤防火墙来实现的。2、ACL访问控制列表(ACL)是应用在路由器接口的指令列表，用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。ACL是路由器屮不可缺少的另一人功能，主要应用在边界路由器

2、跟防火墙路由器。3、通配符关于通配符的计算：如果172.2.2.4/24的主机需要在ACL中检查,通配符为0.0.0.0如果172.3.3.0/24的网段需要在ACL中检查,通配符为0.0.0.255如果172.2.1.0〜172.2.4.0的网段之间的子网素有在ACL中检查，通配符为0.0.3.255(因为该范围的最后一个地址是172.2.4.255,第一个地址是172.2.1.0,两者相减得到0.0.3.255)如果172.3.3.0/20子网掩码为255.255.255.240的子网段需要在ACL中检查,通配

3、符为0.0.0.15(255.255.255.255与255.255.255.240相减)5.4实验过程及步骤1、实验要求：(1)ACL能正常工作的前捉是所有主机都能ping通。(采用R1P路由协议)(1)路由器的基木配置：A、设置路山器接口IP地址B、配置RIP路由(2)根据以上拓扑划分出的2个网段,要求禁止主机C访问172.1.1.0/24网段。该如何实现？2、实验步骤：(1)配置路由器RouterA上的配置router>enarouterttconFtrouter(config)#intFO/1router(

4、config-if)ttipadd172.1.1.1255.255.255.0router(config-if)ttnoshutrouter(config-iF)ttexitrouter(config)#intsO/Orouter(config-if)ttipadd192.168.1.1255.255.255.0router(config-if)ttclockrate64660router(config-if)ttnoshutrouter(config-iF)ttenddRouterB上的配置router>enar

5、outerttconFtrouter(config)#intF0/0router(config-if)ttipadd172.2.2.1255.255.255•0router(config-iF)#noshutrouter(conFig-iF)ttexitrouter(config)#ints0/1router(config-if)ttipadd192.168.1.2255.255.255•0router(config-iF)#noshutrouter(conFig-iF)ttend(2)配置静态路由协议router

6、A的配置：Ia(config)tiproute172.2.2.0255.255.2SS.032/0Ia(confia)#routerB的配置：b>enableb#configzHnterconfigurationccn^andsroneperline.EndwithCNTL/Z.b

7、：Router(config)#access-listaccess-]ist-number{permit

8、deny}{test-conditions}其中access-1ist-number就是列表号，范围为广99(扩展的访问控制列表列表号为100~199),permit(允许)和deny(拒绝)必须选具一，test-conditions为设定的比较条件。如本实验的access-list1deny172.2.2.20.0.0.0,创建一条列表,列表号为1,拒绝172.2.2.2主机的访问，0.0.0.0为反转掩码。

9、假设要禁止172.2.2.0/24整个网段所有的主机访问172.1.1.0/24网段,那么访问控制列表为access-list2deny172.2.2.00.0.0.255。access-list1permitany,意思是允许除了172.2.2.4以外的任何主机访问。在建立完访问控制列表后，要在接口上应用它Router(config-if)#{protoc