本文實例講述了思科基于GNS3模擬器的防火墻配置實驗。分享給大家供大家參考，具體如下：

自反ACL實驗配置

拓撲圖

R4為外網(wǎng)，R2和R3為內(nèi)網(wǎng)。

地址表

先在R2、R3與R4上配置配置靜態(tài)路由

R2(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1

R3(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1

R4(config)#ip route 10.1.65.0 255.255.255.0 14.1.65.1

配置靜態(tài)路由完成，路由之間互通，即可做自反ACL

1.配置拒絕外網(wǎng)主動訪問內(nèi)網(wǎng)

說明：拒絕外網(wǎng)主動訪問內(nèi)網(wǎng)，但是ICMP可以不受限制

（1）配置允許ICMP可以不用標(biāo)記就進入內(nèi)網(wǎng)，其它的必須被標(biāo)記才返回

R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit icmp any any
R1(config-ext-nacl)#evaluate abc

（2）應(yīng)用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group come in

2.測試結(jié)果

（1）測試外網(wǎng)R4的ICMP訪問內(nèi)網(wǎng)

說明：可以看到，ICMP是可以任意訪問的

（2）測試外網(wǎng)R4 telnet內(nèi)網(wǎng)

說明：可以看到，除ICMP之外，其它流量是不能進入內(nèi)網(wǎng)的。

（1） 測試內(nèi)網(wǎng)R2的ICMP訪問外網(wǎng)

說明：可以看到，內(nèi)網(wǎng)發(fā)ICMP到外網(wǎng)，也正常返回了

（2） 測試內(nèi)網(wǎng)R2發(fā)起telnet到外網(wǎng)

說明：可以看到，除ICMP之外，其它流量是不能通過的。

3.配置內(nèi)網(wǎng)向外網(wǎng)發(fā)起的telnet被返回

（1）配置內(nèi)網(wǎng)出去時，telnet被記錄為abc,將會被允許返回

R1(config)#ip access-list extended  goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

（2）應(yīng)用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

4.測試結(jié)果

（1）查看R2到外網(wǎng)的ICMP

說明：ICMP屬正常

（3）查看內(nèi)網(wǎng)向外網(wǎng)發(fā)起telnet

說明：可以看出，此時內(nèi)網(wǎng)發(fā)向外網(wǎng)的telnet因為被標(biāo)記為abc，所以在回來時，開了缺口，也就可以允許返回了。

（4）查看ACL

說明：可以看到，有一條為abc的ACL為允許外網(wǎng)到內(nèi)網(wǎng)的telnet，正是由于內(nèi)網(wǎng)發(fā)到外網(wǎng)的telnet被標(biāo)記了，所以也自動產(chǎn)生了允許其返回的ACL，并且后面跟有剩余時間。

動態(tài)ACL

拓撲圖

說明：

R2和R3為內(nèi)網(wǎng)，R4為外網(wǎng)，配置R1，默認允許所有telnet通過，因為要使用telnet做認證，然后只有當(dāng)認證通過之后，ICMP才可以通過。

這里靜態(tài)路由配置與地址表與第一個實驗自反ACL完全相同，參照上面配置做通路由即可開始此實驗配置。

1.配置Dynamic ACL

（1）配置默認不需要認證就可以通過的數(shù)據(jù)，如telnet

R1(config)#access-list 100 permit tcp an an eq telnet

(2)配置認證之后才能通過的數(shù)據(jù)，如ICMP，絕對時間為2分鐘。

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

（3）應(yīng)用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

 2.測試訪問

（1）測試內(nèi)網(wǎng)R2 telnet外網(wǎng)R4

說明：從結(jié)果中看出，telnet不受限制。

（2）測試測試內(nèi)網(wǎng)R2 ping外網(wǎng)R4

說明：內(nèi)網(wǎng)在沒有認證之前，ICMP是無法通過的。

3.配置本地用戶數(shù)據(jù)庫

R1(config)#username ccie password cisco

4.配置所有人的用戶名具有訪問功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable 

5.內(nèi)網(wǎng)R2做認證

說明：當(dāng)telnet路由器認證成功后，是會被關(guān)閉會話的。

6.測試內(nèi)網(wǎng)到外網(wǎng)的ICMP通信功能

說明：認證通過之后，ICMP被放行。

7.查看ACL狀態(tài)

說明：可以看到動態(tài)允許的流量已放行。

基于時間的ACL

拓撲圖

前提：在R1路由器上需要提前配置好正確的時間

R1#clock set 20:10:30 apr 28 2019

這里靜態(tài)路由配置與地址表與第一個實驗自反ACL完全相同，參照上面配置做通路由即可開始此實驗配置。

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekend 9:00 to 20:45 

說明：定義的時間范圍為周末的9:00 to 20:45

2.配置ACL

說明：配置R1在上面的時間范圍內(nèi)拒絕R2到R4的telnet，其它流量全部通過。

R1(config)#access-list 150 deny tcp host 10.1.65.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

3.應(yīng)用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

4.測試時間范圍內(nèi)的流量情況

（1）查看當(dāng)前R1的時間

說明：當(dāng)前時間為周六20:26，即在所配置的時間范圍內(nèi)。

（2）測試R2向R4發(fā)起telnet會話

說明：可以看到，在規(guī)定的時間范圍內(nèi)，R2向R4發(fā)起telnet會話是被拒絕的。

（3）測試除telnet外的其它流量

說明：可以看到，在規(guī)定的時間范圍內(nèi)，除了telnet之外，其它流量不受限制。

（4）測試除R3之外的設(shè)備telnet情況

說明：可以看到，除R3之外，其它設(shè)備telnet并不受限制。

5.測試時間范圍外的流量情況

（1）更改當(dāng)前R1的時間

說明：更改時間為周日21:00，即在所配置的時間范圍之外。

（2）測試R2向R4發(fā)起telnet會話

說明：在時間范圍之外，所限制的流量被放開。

最新評論