一、实验内容1、用GNS制作如下图所示的网络拓扑。
2、根据拓扑图规划,在路由器和防火墙上设置IP地址和路由表。 打开到R1、R2、R4和R6的远程连接。 3、验证防火墙的默认安全规则,高安全等级接口(inside )可以主动访问低安全等级接口(outside ); 低安全级别界面(outside )无法主动访问高安全级别界面(inside )。 4、在防火墙上放置ACL,以便R1和R2能够ping。 允许防火墙通过ICMP数据流。 5、在防火墙上放置ACL,允许外联网主机R6自行接入内联网主机。 (访问方式为Telnet )。 6、在防火墙上放置ACL,以使得R2无法接入外部网,从而R1仍然能够接入外部网。 二、实验环境操作系统: windows10软件: GNS3.0三、实验步骤路由器: Router c3600
防火墙: asa防火墙
1、首先构建如下图所示的拓扑结构,在路由器上添加接口。
2、建立完整的拓扑结构,连接设备,规划IP地址。
防火墙启动时,界面会弹出。 请勿关闭此界面。 然后,双击防火墙,加载完防火墙后,必须键入/mnt/disk0/lina_monitor启动防火墙。 启动完成后如下图所示。
3、进行R1~R6和ASA相关配置
R1(配置接口IP,设置默认路由,开启远程连接)
R 2(配置接口IP,设置默认路由,开启远程连接)
R 3(配置接口IP、配置默认路由)
ASA(给接口命名、配置接口IP接口并激活、给dmz配置接口优先级、配置一条默认路由和两条静态路由)
R4(给接口设置IP并激活、设置一个默认路由、开启远程连接服务)
R5(设置接口IP并激活、设置一条默认路由)
R 6(设置接口IP并激活、添加一条默认路由、配置远程连接)
4、连通性测试
在R1上去萍202.100.20.2。 萍应该打不通。 因为ICMP处于非状态。 防火墙不会通过ICMP。
但是,在R1上可以远程登录到R6。 inside可以访问outside。
R1还可以远程登录到R4。 这取决于防火墙的规则。
但是,R5和R6无法远程登录到R1、R2和R4。 因为他们在防火墙外。 outside默认情况下无法访问inside。
R6读者可以自己验证。
这表明防火墙工作正常。
5、查看防火墙的conn表
6、在防火墙上配置ACL。 允许防火墙通过ICMP。 即使内部网的R1、R2能够ping到外部网。
这时,我们乘R1和R2去坪6
都是萍通。 如果希望主机R1和R2能够ping dmz区域,则只需将刚才设置的规则应用于dmz接口即可。
7、在防火墙上放置另一个ACL,以使得外联网的R6能够远程连接到R1和R2。 如果不配置ACL,R6无法远程连接到R1。
我们按以下方式安排
再次用R6连接R1
8、我们放置最后一个ACL阻止内部网的主机R2接入外部网。
在R2上远程登录到R6。 无法登录。
但是,R1可以登录。
这表明我们的规则设定没有问题。 我们成功阻止了R2接入外网,但R1可以正常接入外网。 实验到此结束。