项目7-任务2 ACL的配置与调试

实训任务书项目7安全网络技术的配置与调试任务2ACL的配置与调试班级：学号：目录TOC\o"1-2"\h\u20905一、实训目标 221075二、实训环境 229251三、任务描述 25721四、任务分析 38539五、实训内容 3209211、子任务1网络设备的基本配置 3263392、子任务1结果提交 495433、子任务2配置基本ACL 4241634、子任务2结果提交 5195605、任务拓展（选做） 550556、任务拓展结果提交（选做） 812598六、实训总结 8182481、收获与心得体会 879002、存在的问题 8一、实训目标通过本次实训，应能够：（1）掌握在路由器上配置并应用基本ACL的方法。（2）掌握在三层交换机上配置并应用基本ACL的方法。（3）能够使用ping等工具完成网络连通性测试。（4）能够验证ACL规则生效情况，排查配置与连通性故障。二、实训环境双核计算机，内存4G以上，并安装以下软件：（1）Windows7即以上操作系统，安装华为eNSP软件（V100R001C00版本及以上）。（2）实训用到的素材文件，请从配套课程网站下载或者教材配套电子资源中获取。三、任务描述宏宏互联科技有限公司有技术部和财务部，每个部门都有若干台计算机、财务系统服务器1台，使用三层交换机进行局域网组建，并通过路由器连接至外部网络。出于数据安全的考虑，需要在交换机和路由器上配置ACL，网络拓扑图如图1-1所示，VLAN规划表如表1-1所示，设备的端口和IP地址规划表如表1-2所示。具体要求如下：（1）在SWA上分别为技术部、财务部和财务系统创建VLAN10、VLAN20和VLAN30，创建VLAN40并配置地址与路由器RA连接。（2）只允许技术部中的主机PC2访问外网服务器PC1。（3）只允许财务部中的主机PC3访问财务系统服务器PC4。（4）整个网络配置RIPv2协议实现全网互通。图1-1配置ACL的网络拓扑图表1-1VLAN规划表VLAN编号IP地址段端口描述VLAN10/24GE0/0/2~GE0/0/6技术部VLAN20/24GE0/0/7~GE0/0/12财务部VLAN30/24GE0/0/13~GE0/0/20财务系统VLAN40/30GE0/0/1连接外部网络表1-2设备的端口和IP地址规划表表设备端口IP地址SWAVLANIF1054/24VLANIF2054/24VLANIF3054/24VLANIF40/30RAGE0/0/1/30GE0/0/0172.16.1..254/24PC1NIC/24PC2NIC/24PC3NIC/24PC4NIC/24四、任务分析需要在交换机和路由器上配置ACL。只允许技术部的主机PC2访问外网服务器PC1，需要在路由器上配置匹配的ACL并在GE0/0/0端口的out方向上应用。只允许财务部的主机PC3访问财务系统服务器PC4，需要在三层交换机上配置匹配财务部IP地址段、拒绝其他所有IP地址的ACL，并在GE0/0/13端口的out方向上应用。要实现本任务，首先需要在交换机上创建VLAN并划分VLAN、配置端口IP地址，以及在路由器上配置端口IP地址；然后配置RIPv2协议实现全网互通和配置ACL；最后需要进行验证测试。五、实训内容（1）RA的基本配置。为路由器配置名称和端口IP地址。（2）SWA的基本配置。①创建VLAN并划分VLAN。②配置VLANIF端口的IP地址。③配置RIPv2协议实现全网互通。（1）截图1：查看SWA三层交换机VLAN与VLANIF配置命令：displayvlandisplayipinterfacebrief截图2：查看RA路由表命令：displayiprouting-table截图3：查看SWA路由表命令：displayiprouting-table（1）在RA上配置基本ACL。（2）在SWA上配置ACL。（3）应用ACL。任务测试（1）配置每台计算机的IP地址。（2）测试各部门中的计算机与财务系统服务器PC4之间的连通性。①在技术部PC2上ping财务系统服务器PC4。②在财务部PC3上ping财务系统服务器PC4。（3）测试各部门中的计算机与外网服务器PC1之间的连通性。①在技术部PC2上ping外网服务器PC1。②在财务部PC3上ping外网服务器PC1。（4）查看ACL。①在RA上查看ACL。（1）截图1：RA路由器ACL配置命令：displayacl2000（2）截图2：SWA交换机ACL配置命令：displayacl2001（3）截图3：在RA路由器上查看ACL接口应用记录命令：displaytraffic-filterapplied-record（4）截图4：PC2pingPC4（不通）宏宏互联科技有限公司需对服务器访问权限进行精细化控制：PC1仅允许访问服务器FTP服务，PC2仅允许访问服务器Web服务；两台主机均可ping通服务器，但PC1与PC2之间禁止互相ping通。设备端口与IP地址规划如下表所示，通过配置高级ACL实现上述访问控制要求。网络拓扑图如1-1所示，设备的端口和IP地址规划表如表1-1所示。图1-1任务拓展的网络拓扑图

表1-1设备的端口和IP地址规划表设备名称端口IP地址子网掩码默认网关RAGE0/0/054无GE0/0/154无GE0/0/254无服务器NIC54PC1NIC54PC2NIC54一、任务分析本次任务拓展需借助高级ACL实现服务器访问的精细化权限控制，先完成路由器各接口IP地址配置以保障基础网络连通，再根据需求创建高级ACL3000，分别允许PC1Ping服务器并仅访问其FTP服务、允许PC2Ping服务器并仅访问其Web服务，同时禁止PC1与PC2之间相互Ping通，随后将ACL规则在路由器对应接口的出方向应用，最后通过Ping命令与服务访问测试验证ACL规则是否正确生效。 二、配置步骤<Huawei>system-view[Huawei]sysnameRA[RA]undoinfo-centerenable[RA]interfaceGigabitEthernet0/0/0[RA-GigabitEthernet0/0/0]ipaddress54[RA-GigabitEthernet0/0/0]quit[RA]interfaceGigabitEthernet0/0/1[RA-GigabitEthernet0/0/1]ipaddress54[RA-GigabitEthernet0/0/1]quit[RA][RA]interfaceGigabitEthernet0/0/2[RA-GigabitEthernet0/0/2]ipaddress54[RA-GigabitEthernet0/0/2]quit[RA][RA]aclnumber3000[RA-acl-adv-3000]rule5permiticmpsource0destination0[RA-acl-adv-3000]rule10permittcpsource0destination0destination-porteq21[RA-acl-adv-3000]rule15denytcpsource0destination0destination-porteq80[RA-acl-adv-3000]rule20permiticmpsource0destination0[RA-acl-adv-3000]rule25permittcpsource0destination0destination-porteq80[RA-acl-adv-3000]rule30denytcpsource0destination0destination-porteq21[RA-acl-adv-3000]rule35denyicmpsource0destination0[RA-acl-adv-3000]rule40denyicmpsource0destination0[RA-acl-adv-3000][RA-acl-adv-3000]quit[RA]interfaceGigabitEthernet0/0/2[RA-GigabitEthernet0/0/2][RA-GigabitEthernet0/0/2]traffic-filteroutboundacl3000[RA-GigabitEthernet0/0/2][RA-GigabitEthernet0/0/2]quit[RA]interfaceGigabitEthernet0/0/0[RA-GigabitEthernet0/0/0][RA-GigabitEthernet0/0/0]traffic-filteroutboundacl3000[RA-GigabitEthernet0/0/0][RA-GigabitEthernet0/0/0]quit[RA]interfaceGigabitEthernet0/0/1[RA-GigabitEthernet0/0/1]traffic-filteroutboundacl3000[RA-GigabitEthernet0/0/1][RA-GigabitEthernet0/0/1]quit[RA]quit