②在PC3上ping PC1查看结果 ③在PC4上ping PC1查看结果
4. 配置扩展访问列表(列表号100-199)。
1) ①不允许PC3访问PC1:
R(config)#access-list 111 deny ip host 192.167.2.2 host 192.167.1.2 R(config)#access-list 111 permit ip any any R(config)#interface f1/0
R(config-if)#ip access-group 111 in R(config-if)#end
②在PC3上分别ping 192.167.1.1、PC1、PC2查看结果 2) ①只允许PC2 telnet到路由器的F0/0端口:
R(config)#access-list 120 permit tcp host 192.167.1.2 host 192.167.1.1
eq telnet
R(config)#access-list 120 deny tcp any any eq telnet R(config)#interface f0/0
R(config-if)#ip access-group 120 in R(config-if)#end
②在PC1上分别telnet 192.167.1.1、192.167.2.1查看结果 ③在PC3上分别telnet 192.167.1.1、192.167.2.1查看结果 ④观察所定义的访问列表的信息 R#show access-list
五、分析整理实验数据,写出实验报告 六、思考题
1. 标准访问控制列表和扩展访问控制列表的区别有哪些?
14
实验五 防火墙包过滤策略设计
一、实验目的
1. 了解防火墙的工作原理。 2. 掌握防火墙的分类。
3. 掌握防火墙的过滤策略的配置方法。
二、实验原理
1. 防火墙是一种在内部网和外部网之间实施的安全防范措施,可以认为它是一种访问机
制,用于确定哪些内部服务可以提供给外部服务器,以及哪些外部服务器可以访问内部网资源。一般来说,防火墙存在的形式只有两种。一种是以软件的形式运行在计算机上,另外一种就是以硬件的形式存在。
2. 包过滤器防火墙的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过
滤器,指定要检测哪些字段以及如何处理等等。
三、实验仪器及材料
1. 计算机。
2. Cisco Packet Tracer 软件。
四、实验内容与步骤
1. 绘制网络拓扑图。
2. 配置http服务器和ftp服务器。
15
3. 配置OSPF协议。
3) 在全局配置模式下配置路由器R0单区域ospf协议动态路由:
R0(config)#route ospf 2012 ;启动进程号为2012的ospf进程 R0(config-router)#network 192.168.10.0 0.0.0.255 area 0 ;配置0区域网段,通配符为掩码的反码
R0(config-router)#network 192.168.20.0 0.0.0.255 area 0 ;配置0区域网段,通配符为掩码的反码
4) 在全局配置模式下配置路由器R2单区域ospf协议动态路由:
R2(config)#router ospf 2012 ;启动进程号为2012的ospf进程
R2(config-router)#network 192.168.30.0 0.0.0.255 area 0 ;配置0区域网段,通配符为掩码的反码
R2(config-router)#network 192.168.40.0 0.0.0.255 area 0 ;配置0区域网段,通配符为掩码的反码
5) 重复上述步骤在全局配置模式下配置路由器R1单区域ospf协议动态路由。 4. 配置标准访问控制列表ACL。
在全局配置模式下设置路由器R2上的标准访问控制列表,禁止除服务器之外的所有主机数据通过R2的fa0/0端口访问外网:
R2(config)# access-list 1 permit 192.168.40.101 0.0.0.0 ;允许服务器数据通过,使用通配符检查
R2(config)#access-list 1 deny 192.168.40.0 0.0.0.255 ;拒绝子网172.16.40.0的所有其它主机
R2(config)#access-list 1 permit any ;允许所有其他主机 R2(config)#interface fa0/0
R2(config-if)#ip access-group 1 in ;给fa0/0接口的“入”数据流应用访问控制列表1 5. 测试连通性。
在主机PC0上ping PC2、PC3、WWW&FTP服务器,看看实验结果并记录分析。
16
6. 配置扩展访问控制列表ACL。
1) 在全局配置模式下按如下步骤配置R1扩展访问控制列表。
R1 (config)#access-list 101 deny icmp any any echo ;禁止所有icmp包通过 R1 (config)# access-list 101 permit tcp 192.168.10.2 0.0.0.0 192.168.40.101 0.0.0.0 eq ftp ;允许pc0到服务器的ftp访问 R1 (config)# access-list 101 deny tcp 192.168.10.2 0.0.0.255 any eq ftp ;禁止子网内其它主机到服务器的ftp访问 R1 (config)# access-list 101 permit tcp 192.168.10.0 0.0.0.255 192.168.40.101 0.0.0.0 eq www ;允许所有主机访问web服务器
R1 (config)# access-list 101 permit ip any any ;开放其它数据流 2) 在接口上应用扩展访问控制列表。 R0(config)#interface fa0/0
R0(config-if)#ip access-group 101 in ;给接口fa0/0的“入”数据流应用访问控制列表101
五、分析整理实验数据,写出实验报告 六、思考题
1. 标准访问控制列表的配置注意事项有哪些?
17
实验六 帧中继广域网设计
一、实验目的
1. 使用帧中继技术实现中心园区网与远程分部的专线接入。 2. 掌握帧中继虚电路交换技术原理。
3. 掌握帧中继数据的三层封装原理与路由配置技术。
二、实验原理
1. 帧中继是一种“先进”的包交换技术,它是从分组交换技术发展起来的,是一种快速
分组通信方式。帧中继网络采用的传输介质是光纤。
2. 帧中继采用了虚电路(Virtual Circuit,VC)技术; 帧中继简化了X.25通信协议,
时延小、传输效率高、数据吞吐量大;帧中继使用统计复用技术,传输带宽按需分配,适用于突发性业务;帧中继支持多种网络协议,可以为各种网络提供快速、稳定的连接;帧中继传输速率高,接入速率一般为64Kbps-2Mbps;帧中继降低了联网成本,使网络资源利用率高,网络费用低廉。
三、实验仪器及材料
1. 计算机。
2. Cisco Packet Tracer 软件。
四、实验内容与步骤
1. 绘制网络拓扑图。
18