地址表

简介

在本练习中,您需要演练配置实施五项安全策略的 ACL 的技能。此外,您还要配置 PPP 和 OSPF 路由。设备已配置了 IP 地址。用户执行口令是 cisco,特权执行口令是 class

任务 1:配置带有 CHAP 身份验证的 PPP步骤 1. 将 HQ 和 B1 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。

CHAP 身份验证的口令是 cisco123

B1:

username HQ password cisco123

interface Serial0/0/0
encapsulation ppp
ppp authentication chap

HQ:

username B1 password 0 cisco123

interface Serial0/0/0
encapsulation ppp
ppp authentication chap

步骤 2. 将 HQ 和 B2 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。

CHAP 身份验证的口令是 cisco123

B2:

username HQ password 0 cisco123

interface Serial0/0/0
encapsulation ppp
ppp authentication chap

HQ:

username B2 password 0 cisco123

interface Serial0/0/1
encapsulation ppp
ppp authentication chap

步骤 3. 检查路由器之间是否已恢复连通性。

HQ 应能 ping 通 B1 和 B2。接口恢复可能需要几分钟。在 Realtime(实时)模式和 Simulation(模拟)模式之间来回切换可加快此过程。要让 Packet Tracer 加快此过程,另一种可行的方法是对接口使用 shutdownno shutdown 命令。

注:由于 Packet Tracer 程序缺陷,接口可能会在练习期间的任何时候随机关闭。请等待几秒钟,通常接口会自行重新打开。

步骤 4. 检查结果。

完成比例应为 29%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 2:配置默认路由步骤 1. 配置从 HQ 到 ISP 的默认路由。

在 HQ 上使用送出接口参数配置默认路由,将所有默认流量发送到 ISP。

ip route 0.0.0.0 0.0.0.0 Serial0/1/0

步骤 2. 测试与 Web Server 的连通性。

从 HQ 的 Serial0/1/0 接口发出 ping。HQ 应该能成功 ping 通 Web Server (209.165.202.130)。

步骤 3. 检查结果。

完成比例应为 32%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 3:配置 OSPF 路由步骤 1. 在 HQ 上配置 OSPF。

  • 使用进程 ID 1 配置 OSPF。
  • 通告除 209.165.201.0 网络外的所有子网。
  • 向 OSPF 相邻设备传播默认路由。
  • 在接入 ISP 和接入 HQ LAN 的接口上禁用 OSPF 更新。
    HQ:

router ospf 1
passive-interface FastEthernet0/0
passive-interface FastEthernet0/1
passive-interface Serial0/1/0
network 10.1.50.0 0.0.0.255 area 0
network 10.1.40.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
network 10.1.1.4 0.0.0.3 area 0
default-information originate

步骤 2. 在 B1 和 B2 上配置 OSPF。

  • 使用进程 ID 1 配置 OSPF。
  • 在每台路由器上配置适当的子网。
  • 在接入 LAN 的接口上禁用 OSPF 更新。
    B1:

router ospf 1
passive-interface FastEthernet0/0
passive-interface FastEthernet0/1
network 10.1.1.0 0.0.0.3 area 0
network 10.1.10.0 0.0.0.255 area 0
network 10.1.20.0 0.0.0.255 area 0

B2:

router ospf 1
passive-interface FastEthernet0/0
passive-interface FastEthernet0/1
network 10.1.1.4 0.0.0.3 area 0
network 10.1.70.0 0.0.0.255 area 0
network 10.1.80.0 0.0.0.255 area 0

步骤 3. 测试整个网络的连通性。

现在,网络应该实现了完全的端到端连通性。所有设备均应能够成功 ping 通所有其它设备,包括地址为 209.165.202.130 的 Web Server。

步骤 4. 检查结果。

完成比例应为 76%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 4:实施多项 ACL 安全策略步骤 1. 实施第一项安全策略。

阻止 10.1.10.0 网络访问 10.1.40.0 网络。允许对 10.1.40.0 的所有其它访问。在 HQ 上使用 ACL 编号 10 配置 ACL。

HQ:
access-list 10 deny 10.1.10.0 0.0.0.255
access-list 10 permit any

interface FastEthernet0/1
ip access-group 10 out

步骤 2. 检查第一项安全策略是否已实现。

从 PC5 ping PC1 应该失败。

步骤 3. 检查结果。

完成比例应为 80%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

步骤 4. 实施第二项安全策略。

拒绝主机 10.1.10.5 访问主机 10.1.50.7。允许所有其它主机访问 10.1.50.7。在 B1 上使用 ACL 编号 115 配置 ACL。

B1:

access-list 115 deny ip host 10.1.10.5 host 10.1.50.7
access-list 115 permit ip any any

interface FastEthernet0/0
ip access-group 115 in

步骤 5. 检查第二项安全策略是否已实现。

从 PC5 ping PC3 应该失败。

步骤 6. 检查结果。

完成比例应为 85%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

步骤 7. 实施第三项安全策略。

拒绝从 10.1.50.1 到 10.1.50.63 的主机通过 Web 访问地址为 10.1.80.16 的内部网服务器。允许所有其它访问。在适当的路由器上使用 ACL 编号 101 配置 ACL。

HQ:

access-list 101 deny tcp 10.1.50.0 0.0.0.63 host 10.1.80.16 eq www
access-list 101 permit ip any any

interface FastEthernet0/0
ip access-group 101 in

步骤 8. 检查第三项安全策略是否已实现。

要测试此策略,请单击 PC3,然后单击 Desktop(桌面)选项卡,再单击Web Browser(Web 浏览器)。URL 应键入内部网服务器的 IP 地址 10.1.80.16,然后按 Enter。几秒后应收到 Request Timeout(请求超时)消息。PC2 和该网络中的所有其它 PC 都应该能够访问内部网服务器。

步骤 9. 检查结果。

完成比例应为 90%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

步骤 10. 实施第四项安全策略。

使用名称 NO_FTP 配置命名 ACL,阻止 10.1.70.0/24 网络访问文件服务器 (10.1.10.2) 上的 FTP 服务(端口 21)。所有其它访问都应允许。

注意:名称区分大小写。

B2:

ip access-list extended NO_FTP
deny tcp 10.1.70.0 0.0.0.255 host 10.1.10.2 eq ftp
permit ip any any

interface FastEthernet0/1
ip access-group NO_FTP in

步骤 11. 检查结果。

Packet Tracer 不支持测试 FTP 访问,因此您无法检验此策略。不过,完成比例应为 95%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

步骤 12. 实施第五项安全策略。

由于 ISP 代表与 Internet 之间的连通性,因此请按照下列顺序配置名为FIREWALL 的命名 ACL:



仅允许来自 ISP 和来自 ISP 之外任何源地址的入站 ping 应答。 仅允许来自 ISP 和来自 ISP 之外任何源地址的已建立 TCP 会话。
* 明确阻止来自 ISP 和来自 ISP 之外任何源地址的所有其它入站访问HQ:ip access-list extended FIREWALL
permit icmp any any echo-reply
permit tcp any any established
deny ip any any

interface Serial0/1/0
description Link to ISP
ip access-group FIREWALL in
步骤 13. 检查第五项安全策略是否已实现。此策略的测试结果应该是任何 PC 都能 ping 通 ISP 或 Web Server。但 ISP 和 Web Server 应该都无法 ping 通 HQ 或 FIREWALL ACL 后的任何其它设备。