一、实验目的
在Windows环境下利用Cisco Packet Tracer进行 配置防火墙操作。
二、实验环境
1.Windows10、Cisco Packet Tracer 8.2
2.相关的环境设置
在最初的时候,我们已经得到了搭建好的拓扑模型,利用已经搭建好的拓扑模型,进行后续的相关实验操作。以下则是搭建该拓扑模型时候的相关信息。
( 1 )地址分配表
|--------|--------|---------------|-----------------|---------------|
| 设备 | 接口 | IP 地址 | 子网掩码 | 默认网关 |
| RTA | G0/0 | 10.101.117.49 | 255.255.255.248 | 不适用 |
| RTA | G0/1 | 10.101.117.33 | 255.255.255.240 | 不适用 |
| RTA | G0/2 | 10.101.117.1 | 255.255.255.224 | 不适用 |
| PCA | NIC | 10.101.117.51 | 255.255.255.248 | 10.101.117.49 |
| PCB | NIC | 10.101.117.35 | 255.255.255.240 | 10.101.117.33 |
| SWA | VLAN 1 | 10.101.117.50 | 255.255.255.248 | 10.101.117.49 |
| SWB | VLAN 1 | 10.101.117.34 | 255.255.255.240 | 10.101.117.33 |
| SWC | VLAN 1 | 10.101.117.2 | 255.255.255.224 | 10.101.117.1 |
3.背景/场景
在此场景中,系统允许一个 LAN 中的设备使用 SSH 协议 远程访问另一个 LAN 中的设备。除了 ICMP 之外, 来自其他网络的所有流量都会被拒绝。
已使用 以下信息对交换机和路由器进行了预配置:
·启用加密密码:ciscoenpa55
·控制台密码:ciscoconpa55
·本地用户名和密码:Admin/ Adminpa55
三、实验内容
任务 1: 配置扩展 ACL
任务 2: 应用扩展ACL
任务 3: 检验ACL的实施
四、实验步骤
任务 1: 配置扩展 ACL
a. 在 RTA 的相应配置模式下,使用最后一个有效的 扩展访问列表编号来配置 ACL。按照以下步骤 构建第一个 ACL 语句:
-
最后一个扩展列表编号是 199。
-
协议是 TCP。
-
源网络是 10.101.117.32。
-
通配符可通过从 255.255.255.255 中减去 255.255.255.240 来确定。
-
目的网络是 10.101.117.0。
-
通配符可通过从 255.255.255.255 中减去 255.255.255.224 来确定。
-
协议为 SSH(端口 22)。
第一个 ACL 语句是什么?
首先我们通过RTA下的相关语句进入其config操作环境下,相关的命令如下
RTA>enable
Password: (此处输入密码时,不会显示,相对来说更加安全。)
Password:
RTA#?(问号可以查看此权限下的相关命令)
Exec commands:
<1-99> Session number to resume
auto Exec level Automation
clear Reset functions
clock Manage the system clock
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
debug Debugging functions (see also 'undebug')
delete Delete a file
dir List files on a filesystem
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
erase Erase a filesystem
exit Exit from the EXEC
logout Exit from the EXEC
mkdir Create new directory
more Display the contents of a file
no Disable debugging informations
ping Send echo messages
reload Halt and perform a cold restart
RTA#config
RTA#configure
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
此时我们已经进入了RTA#config下
通过以上要求,我们可以知道输入的第一个语句应当是:
access-list 199 permit tcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eq 22
b. 允许 ICMP,并且需要第二个 ACL 语句。使用同一 访问列表编号允许所有 ICMP 流量,无需考虑源地址或 目的地址。第二个 ACL 语句是什么?(提示:使用任何关键字)
语句为:access-list 199 permit icmp any any
c. 默认情况下,所有其他 IP 流量都被拒绝。
任务 2: 应用扩展 ACL
一般来说,要将扩展 ACL 放在靠近 源地址的位置。但是,由于访问列表 199 会影响来源于 网络 10.101.117.48/29 和 10.101.117.32/28 的流量,所以最好将该 ACL 放置在 位于出站方向的千兆以太网 0/2 接口上。使用 什么命令可以将 ACL 199 应用到千兆位以太网 0/2 接口?
相关的语句命令如下:
++RTA(config)#interface g0/2++
++RTA(config-if)#ip++
++% Incomplete command.++
++RTA(config-if)#ip access-group 199 out++
任务3: 检验扩展 ACL 的实施
1、从 PCB 对网络中的所有其他 IP 地址执行 ping 操作。如果 执行 ping 操作不成功,请在继续之前验证 IP 地址。
2、从 PCB 通过 SSH 连接到 SWC。用户名为 Admin, 密码为 Adminpa55。
PC> ssh -l Admin 10.101.117.2
3、退出 SWC 的 SSH 会话。
3、从 PCA 对网络中的所有其他 IP 地址执行 ping 操作。如果 执行 ping 操作不成功,请在继续之前验证 IP 地址。
4、从 PCA 通过 SSH 连接到 SWC。访问列表导致路由器拒绝连接。
5、从 PCA 通过 SSH 连接到 SWB。访问列表位于 G0/2 上,而且不会影响此连接。用户名为 Admin, 密码为 Adminpa55。
6、在登录 SWB 之后,请不要退出。在 特权 EXEC 模式下通过 SSH 连接到 SWC。
SWB# ssh -l Admin 10.101.117.2
五、实验结果及分析
此次实验,我们通过相关拓扑模型建立简单的防火墙,达到了预期的实验目标。
六、总结
通过此次实验,我们利用已经建立好的拓扑模型,通过相关操作建立了一个简单的防火墙,达到了防火墙的初步功能。