1、實訓(xùn)項目七 防火墻配置【實驗?zāi)康摹縧 熟悉路由器的包過濾的核心技術(shù)：ACLl 掌握訪問控制列表的分類及各自特點l 掌握訪問控制列表的應(yīng)用，靈活設(shè)計防火墻【實驗儀器和設(shè)備】l H3C S3610或H3C E126A交換機2臺、H3C MR30-20路由器2臺、標(biāo)準(zhǔn)網(wǎng)線2條、計算機2臺；l 每3名同學(xué)為一組?！緦嶒灢襟E】任務(wù)一、廣域網(wǎng)接口線纜步驟一：連接廣域網(wǎng)接口線纜 5/0實現(xiàn)互聯(lián)，其中連接RTA的V.35電纜外接網(wǎng)絡(luò)側(cè)為34孔插座，而連接RTB的V.35電纜外接網(wǎng)絡(luò)側(cè)為34針插頭（雖然通常只保留在用的針），由此可以得知路由器RTB的接口S5/0是DTE端，而路由器RTA的接口S5/0是DCE端

2、。步驟二：查看廣域網(wǎng)接口信息在RTA上通過 命令查看接口Serial 5/0的信息，根據(jù)其輸出信息可以看到：Physical layer is synchronous，Virtual Baudrate is bpsInterface is , Cable type is 在RTB上通過 命令查看接口Serial 5/0的信息，根據(jù)其輸出信息可以看到： Physical layer is ，Baudrate is bps Interface is , Cable type is 同步模式下，目前的傳輸速率是 。步驟三：配置廣域網(wǎng)接口參數(shù)配置將RTB的接口S5/0的傳輸速率修改為 2Mbps，請在

3、如下的空格中補充完整的配置命令：RTB-Serial5/0baudrate 2048000在RTB上執(zhí)行該命令后，有信息提示： 。然后配置將RTA的接口S5/0的傳輸速率修改為 2Mbps，請在如下的空格中補充完整的配置命令： RTA-Serial5/0baudrate 配置完成后通過 命令查看接口Serial5/0的信息，根據(jù)其輸出信息可以看到 Physical layer is asynchronous，Baudrate is bps在RTA的接口Serial 5/0下作如下配置：RTA-Serial5/0physical-mode async 如上配置命令的含義是 。 方式傳輸數(shù)據(jù)。 任

4、務(wù)二、配置基本ACL本實驗任務(wù)主要是通過在路由器上實施基本ACL來禁止PCA訪問PCB，使學(xué)生熟悉基本ACL的配置和作用。步驟一：建立物理連接并初始化路由器配置 按實驗組網(wǎng)圖進(jìn)行物理連接并檢查設(shè)備的軟件版本及配置信息，確保各設(shè)備軟件版本符合要求，所有配置為初始狀態(tài)。如果配置不符合要求，請學(xué)生在用戶視圖下擦除設(shè)備中的配置文件，然后重啟設(shè)備以使系統(tǒng)采用缺省的配置參數(shù)進(jìn)行初始化。 步驟二：配置IP地址及路由按表7-1所示在PC上配置IP地址和網(wǎng)關(guān)。配置完成后，在Windows操作系統(tǒng)的【開始】里選擇【運行】，在彈出的窗口里輸入CMD，然后在【命令提示符】下用ipconfig命令來查看所配置的IP地址

5、和網(wǎng)關(guān)是否正確。表7-1 IP地址列表設(shè)備名稱接口IP地址網(wǎng)關(guān)RTAS5/0-G0/0-RTBS5/0-G0/0-PCA-PCB-192.168.2.2/24192.168.2.1學(xué)生可自己選擇在路由器上配置靜態(tài)路由或任一種動態(tài)路由，來達(dá)到全網(wǎng)互通。配置完成后，請在PCA上通過Ping命令來驗證PCA與路由器、PCA與PCB之間的可達(dá)性。其結(jié)果應(yīng)該可達(dá)。如果不可達(dá)，請參考教材相關(guān)章節(jié)來檢查路由協(xié)議是否設(shè)置正確。 步驟三：ACL應(yīng)用規(guī)劃本實驗的目的是使PCA不能訪問PCB，也就是PC之間不可達(dá)。請學(xué)生考慮如何在網(wǎng)絡(luò)中應(yīng)用ACL包過濾的相關(guān)問題： l 需要使用何種ACL？l ACL規(guī)則的動作是de

6、ny 還是permit？l ACL規(guī)則中的反掩碼應(yīng)該是什么？l ACL包過濾應(yīng)該應(yīng)用在路由器的哪個接口的哪個方向上？下面是有關(guān)ACL規(guī)劃的答案： l 本實驗?zāi)康氖且筆CA訪問PCB，僅使用源IP地址就能夠識別PCA發(fā)出的數(shù)據(jù)報文，因此使用基本ACL即可。 l 本實驗?zāi)康氖且筆C之間不可達(dá)，因此ACL規(guī)則的動作是deny。l 本實驗中只需要限制從單臺PC發(fā)出的報文，因此反掩碼設(shè)置為0.0.0.0。l 因為需要禁止PCA訪問PCB，所以可以在RTA連接PCA的接口G0/0上應(yīng)用ACL，方向為Inbound。步驟四：配置基本ACL并應(yīng)用首先要在RTA上配置開啟防火墻功能并設(shè)置防火墻的缺省過濾方

7、式，請在下面的空格中補充完整的命令： RTA RTAfirewall default 其次配置基本ACL，基本ACL的編號范圍是 ，請在下面的空格中補充完整的命令： RTAacl number 2001RTA-acl-basic-2001 最后要在RTA的接口上應(yīng)用ACL才能確保ACL生效，請在下面的空格中寫出完整的在正確的接口正確的方向上應(yīng)用該ACL的配置命令： RTA-GigabitEthernet0/0 步驟五：驗證防火墻作用及查看 在PCA上使用Ping命令來測試從PCA到PCB的可達(dá)性，結(jié)果是ping包返回 。同時在RTA上通過命令display acl 2001查看ACL的統(tǒng)計，根據(jù)其輸出信息顯示可以看 Rule 0 8 times matched,根據(jù)該顯示可以看到有數(shù)據(jù)報文命中了ACL中定