赞
踩
本实验在先前实验的基础上对路由器增加配置,通过ACL限制PC0,让其不能访问外网的其他主机。本文仅对ACL配置方面进行介绍,其余基础配置,如开辟子接口、DCHP和NAT等参考之前的文章。
ACL可以实现信息识别功能,然后实现过滤,本次实验的过滤条件主要是消息的源地址。ACL配置需要具体到路由器的端口号、消息的方向(是对进入该端口的消息进行过滤还是对由本端口发出的消息进行过滤)、访问控制列表(记录了允许与拒绝的消息的IP地址)。
路由器端口不仅可以对要进入该端口的消息进行过滤(in方向),还可以对想要由此端口发出的消息进行过滤(out方向)。
以PC0和PC1为例,一次成功的通信不仅需要PC0向PC1发出消息,PC0还要收到PC1的确认。两种不同源地址的报文在通过路由器端口时都需要ACL进行过滤。
对某端口而言,在消息发出时若为in方向,则确认消息经过时为out方向。
端口过滤时需要查找访问控制列表,常见命令为:
permit 192.168.66.0 0.0.0.255(允许源地址为192.168.66.* 的消息通过)
deny 192.168.66.0 0.0.0.255(禁止源地址为192.168.66.* 的消息通过)
需要注意的是,端口过滤查表时自上而下,查到后就停止向下查询。若表中没有查到记录,默认是禁止的(本实验软件采用)。
对上述两行命令而言,主机192.168.66.1发送的消息总是允许的,第二行命令没有起到作用。而主机192.168.67.1发送的消息默认禁止,为了让此消息通过,通常可以将第二行命令改为:permit any 。
开启子端口
DHCP (注意PC勾选DHCP 非static)
静态路由
开启子端口
DHCP (注意PC勾选DHCP 非static)
动态路由
内网可以访问外网,外网不能访问内网。
要求:分别考虑r0的0、1口,在in和out两种情况下的限制。
可以分为四种情况。
在左端口f0/0的in方向进行过滤:来自主机192.168.10.*的消息在进入(in)R0左端口f0/0时被拒绝。
来自其他主机(192.168.11.*)的消息在进入R0左端口时被允许。
在左端口f0/0的in方向进行过滤:来自主机192.168.14.*、192.168.15.*的消息在离开(out)R0左端口f0/0时被拒绝。
器) case4
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。