试题三:ACL的配置 地址表
设备 接口 IP 地址 子网掩码
HQ S0/0/0 10.1.1.1 255.255.255.252
S0/0/1 10.1.1.5 255.255.255.252
S0/1/0 209.165.201.2 255.255.255.252
Fa0/0 10.1.50.1 255.255.255.0
Fa0/1 10.1.40.1 255.255.255.0
B1 S0/0/0 10.1.1.2 255.255.255.252
Fa0/0 10.1.10.1 255.255.255.0
Fa0/1 10.1.20.1 255.255.255.0
B2 S0/0/0 10.1.1.6 255.255.255.252
Fa0/0 10.1.80.1 255.255.255.0
Fa/0/1 10.1.70.1 255.255.255.0
ISP S0/0/0 209.165.201.1 255.255.255.252
Fa0/0 209.165.202.129 255.255.255.252
Web Server 网卡 209.165.202.130 255.255.255.252
注意
所有设备都已配置了 IP 地址。用户执行口令是 cisco,特权执行口令是 class。
任务 1:配置带有 CHAP 身份验证的 PPP
步骤 1. 将 HQ 和 B1 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。
CHAP 身份验证的口令是 cisco123。
步骤 2. 将 HQ 和 B2 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。
CHAP 身份验证的口令是 cisco123。
完成比例应为 29%。
任务 2:配置默认路由
步骤 1. 配置从 HQ 到 ISP 的默认路由。
在 HQ 上使用出站接口参数配置默认路由,将所有默认流量发送到 ISP。
步骤 2. 测试与 Web Server 的连通性。
从 HQ 的 Serial0/1/0 接口发出 ping。HQ 应该能成功 ping 通 Web Server (209.165.202.130)。
完成比例应为 32%。
任务 3:配置 OSPF 路由
步骤 1. 在 HQ 上配置 OSPF。
使用进程 ID 1、area ID 0配置 OSPF。
通告除 209.165.201.0 网络外的所有子网。
向 OSPF 相邻设备传播默认路由。
在接入 ISP 和接入 HQ LAN 的接口上禁用 OSPF 更新。
步骤 2. 在 B1 和 B2 上配置 OSPF。
使用进程 ID 1、area ID 0配置 OSPF。
在每台路由器上配置适当的子网。
在接入 LAN 的接口上禁用 OSPF 更新。
步骤 3. 测试整个网络的连通性。
现在,网络应该实现了完全的端到端连通性。所有设备均应能够成功 ping 通所有其它设备,包括地址为 209.165.202.130 的 Web Server。
步骤 4. 检查结果。
完成比例应为 76%。
任务 4:实施多项 ACL 安全策略
步骤 1. 实施第一项安全策略。
阻止 10.1.10.0 网络访问 10.1.40.0 网络。允许对 10.1.40.0 的所有其它访问。在 HQ 上使用 ACL 编号 10 配置 ACL。
从 PC5 ping PC1 应该失败
完成比例应为 80%。
步骤 4. 实施第二项安全策略。
拒绝主机 10.1.10.5 访问主机 10.1.50.7。允许所有其它主机访问 10.1.50.7。在 B1 上使用 ACL 编号 115 配置 ACL。
从 PC5 ping PC3 应该失败。
步骤 6. 检查结果。
完成比例应为 85%。
步骤 7. 实施第三项安全策略。
拒绝从 10.1.50.1 到 10.1.50.63 的主机通过 Web 访问地址为 10.1.80.16 的内部网服务器。允许所有其它访问。在适当的路由器上使用 ACL 编号 101 配置 ACL。
步骤 8. 检查第三项安全策略是否已实现。
要测试此策略,请单击 PC3,然后单击 Desktop(桌面)选项卡,再单击 Web Browser(Web 浏览器)。URL 应键入内部网服务器的 IP 地址 10.1.80.16,然后按 Enter。几秒后应收到 Request Timeout(请求超时)消息。PC2 和该网络中的所有其它 PC 都应该能够访问内部网服务器。
完成比例应为 90%。
呵呵,
HQ
conf t
username B1 password cisco123
username B2 password cisco123
int s0/0/0
encapsulation ppp
ppp authentication chap
int s0/0/1
encapsulation ppp
ppp authentication chap
exit
ip route 0.0.0.0 0.0.0.0 s0/1/0
router ospf 1
net 10.1.1.0 0.0.0.3 a 0
net 10.1.1.4 0.0.0.3 a 0
net 10.1.50.0 0.0.0.255 a 0
net 10.1.40.0 0.0.0.255 a 0
default-information originate
passive-interface s0/1/0
passive-interface f0/0
passive-interface f0/1
exit
access-list 10 deny 10.1.10.0 0.0.0.255
access-list 10 permit any
int f0/1
ip access-group 10 out
exit
access-list 101 deny tcp 10.1.50.0 0.0.0.63 10.1.80.16 0.0.0.0 eq 80
access-list 101 permit ip any any
int f0/0
ip access-group 101 in
exit
ip access-list extended FIREWALL
permit icmp any any echo-reply
permit tcp any any established
deny ip any any
int s0/1/0
ip access-group FIREWALL in
exit
B1
conf t
username HQ password cisco123
int s0/0/0
encapsulation ppp
ppp authentication chap
exit
router ospf 1
net 10.1.1.0 0.0.0.3 a 0
net 10.1.10.0 0.0.0.255 a 0
net 10.1.20.0 0.0.0.255 a 0
passive-interface f0/1
passive-interface f0/0
exit
access-list 115 deny ip 10.1.10.5 0.0.0.0 10.1.50.7 0.0.0.0
access-list 115 permit ip any any
int f0/0
ip access-group 115 in
exit
B2
conf t
username HQ password cisco123
int s0/0/0
encapsulation ppp
ppp authentication chap
router ospf 1
net 10.1.1.4 0.0.0.3 a 0
net 10.1.80.0 0.0.0.255 a 0
net 10.1.70.0 0.0.0.255 a 0
passive-interface f0/1
passive-interface f0/0
exit
ip access-list extended NO_FTP
deny tcp 10.1.70.0 0.0.0.255 10.1.10.2 0.0.0.0 eq 21
permit ip any any
int f0/1
ip access-group NO_FTP in
exit