本文實(shí)例講述了思科基于GNS3模擬器的防火墻配置實(shí)驗(yàn)。分享給大家供大家參考，具體如下：

自反ACL實(shí)驗(yàn)配置

拓?fù)鋱D

R4為外網(wǎng)，R2和R3為內(nèi)網(wǎng)。

地址表

先在R2、R3與R4上配置配置靜態(tài)路由

R2(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1

R3(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1

R4(config)#ip route 10.1.65.0 255.255.255.0 14.1.65.1

配置靜態(tài)路由完成，路由之間互通，即可做自反ACL

1.配置拒絕外網(wǎng)主動(dòng)訪問內(nèi)網(wǎng)

說明：拒絕外網(wǎng)主動(dòng)訪問內(nèi)網(wǎng)，但是ICMP可以不受限制

（1）配置允許ICMP可以不用標(biāo)記就進(jìn)入內(nèi)網(wǎng)，其它的必須被標(biāo)記才返回

R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit icmp any any
R1(config-ext-nacl)#evaluate abc

（2）應(yīng)用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group come in

2.測(cè)試結(jié)果

（1）測(cè)試外網(wǎng)R4的ICMP訪問內(nèi)網(wǎng)

說明：可以看到，ICMP是可以任意訪問的

（2）測(cè)試外網(wǎng)R4 telnet內(nèi)網(wǎng)

說明：可以看到，除ICMP之外，其它流量是不能進(jìn)入內(nèi)網(wǎng)的。

（1） 測(cè)試內(nèi)網(wǎng)R2的ICMP訪問外網(wǎng)

說明：可以看到，內(nèi)網(wǎng)發(fā)ICMP到外網(wǎng)，也正常返回了

（2） 測(cè)試內(nèi)網(wǎng)R2發(fā)起telnet到外網(wǎng)

說明：可以看到，除ICMP之外，其它流量是不能通過的。

3.配置內(nèi)網(wǎng)向外網(wǎng)發(fā)起的telnet被返回

（1）配置內(nèi)網(wǎng)出去時(shí)，telnet被記錄為abc,將會(huì)被允許返回

R1(config)#ip access-list extended  goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

（2）應(yīng)用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

4.測(cè)試結(jié)果

（1）查看R2到外網(wǎng)的ICMP

說明：ICMP屬正常

（3）查看內(nèi)網(wǎng)向外網(wǎng)發(fā)起telnet

說明：可以看出，此時(shí)內(nèi)網(wǎng)發(fā)向外網(wǎng)的telnet因?yàn)楸粯?biāo)記為abc，所以在回來時(shí)，開了缺口，也就可以允許返回了。

（4）查看ACL

說明：可以看到，有一條為abc的ACL為允許外網(wǎng)到內(nèi)網(wǎng)的telnet，正是由于內(nèi)網(wǎng)發(fā)到外網(wǎng)的telnet被標(biāo)記了，所以也自動(dòng)產(chǎn)生了允許其返回的ACL，并且后面跟有剩余時(shí)間。

動(dòng)態(tài)ACL

拓?fù)鋱D

說明：

R2和R3為內(nèi)網(wǎng)，R4為外網(wǎng)，配置R1，默認(rèn)允許所有telnet通過，因?yàn)橐褂胻elnet做認(rèn)證，然后只有當(dāng)認(rèn)證通過之后，ICMP才可以通過。

這里靜態(tài)路由配置與地址表與第一個(gè)實(shí)驗(yàn)自反ACL完全相同，參照上面配置做通路由即可開始此實(shí)驗(yàn)配置。

1.配置Dynamic ACL

（1）配置默認(rèn)不需要認(rèn)證就可以通過的數(shù)據(jù)，如telnet

R1(config)#access-list 100 permit tcp an an eq telnet

(2)配置認(rèn)證之后才能通過的數(shù)據(jù)，如ICMP，絕對(duì)時(shí)間為2分鐘。

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

（3）應(yīng)用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

 2.測(cè)試訪問

（1）測(cè)試內(nèi)網(wǎng)R2 telnet外網(wǎng)R4

說明：從結(jié)果中看出，telnet不受限制。

（2）測(cè)試測(cè)試內(nèi)網(wǎng)R2 ping外網(wǎng)R4

說明：內(nèi)網(wǎng)在沒有認(rèn)證之前，ICMP是無法通過的。

3.配置本地用戶數(shù)據(jù)庫(kù)

R1(config)#username ccie password cisco

4.配置所有人的用戶名具有訪問功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable 

5.內(nèi)網(wǎng)R2做認(rèn)證

說明：當(dāng)telnet路由器認(rèn)證成功后，是會(huì)被關(guān)閉會(huì)話的。

6.測(cè)試內(nèi)網(wǎng)到外網(wǎng)的ICMP通信功能

說明：認(rèn)證通過之后，ICMP被放行。

7.查看ACL狀態(tài)

說明：可以看到動(dòng)態(tài)允許的流量已放行。

基于時(shí)間的ACL

拓?fù)鋱D

前提：在R1路由器上需要提前配置好正確的時(shí)間

R1#clock set 20:10:30 apr 28 2019

這里靜態(tài)路由配置與地址表與第一個(gè)實(shí)驗(yàn)自反ACL完全相同，參照上面配置做通路由即可開始此實(shí)驗(yàn)配置。

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekend 9:00 to 20:45 

說明：定義的時(shí)間范圍為周末的9:00 to 20:45

2.配置ACL

說明：配置R1在上面的時(shí)間范圍內(nèi)拒絕R2到R4的telnet，其它流量全部通過。

R1(config)#access-list 150 deny tcp host 10.1.65.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

3.應(yīng)用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

4.測(cè)試時(shí)間范圍內(nèi)的流量情況

（1）查看當(dāng)前R1的時(shí)間

說明：當(dāng)前時(shí)間為周六20:26，即在所配置的時(shí)間范圍內(nèi)。

（2）測(cè)試R2向R4發(fā)起telnet會(huì)話

說明：可以看到，在規(guī)定的時(shí)間范圍內(nèi)，R2向R4發(fā)起telnet會(huì)話是被拒絕的。

（3）測(cè)試除telnet外的其它流量

說明：可以看到，在規(guī)定的時(shí)間范圍內(nèi)，除了telnet之外，其它流量不受限制。

（4）測(cè)試除R3之外的設(shè)備telnet情況

說明：可以看到，除R3之外，其它設(shè)備telnet并不受限制。

5.測(cè)試時(shí)間范圍外的流量情況

（1）更改當(dāng)前R1的時(shí)間

說明：更改時(shí)間為周日21:00，即在所配置的時(shí)間范圍之外。

（2）測(cè)試R2向R4發(fā)起telnet會(huì)話

說明：在時(shí)間范圍之外，所限制的流量被放開。

最新評(píng)論