ACL基礎
一、實驗目的
1. 配置H3C路由器基本ACL。
二、實驗要求
1. 熟練掌握網絡配置能力。
2. 熟練掌握ACL基本配置。
三、實驗步驟
(1)使用reset saved-configuration命令和reboot命令,重置路由器原有配置,如圖1所示。
圖 1
(2)對路由器R2進行命名為FangYang-R2以便于區分。并且對路由器端口進行配置,具體配置如圖2所示。配置E0/1端口IP和子網掩碼ip address 178.136.3.1 /24;配置E0/2端口IP和子網掩碼ip address 178.136.3.1 /24;類似的,在路由器R1進行相關配置,具體配置如圖3所示。
圖 2 路由器2的相關配置
圖 3 路由器1的相關配置
- 對PC2進行IP地址和默認網關配置,IP地址為178.136.3.2 /24,默認網關為與PC2在同一網段的路由器IP 178.136.3.1 /24,如圖4所示。類似的,對PC1進行相關操作,如圖5所示。
圖 4
圖 5
- 如圖6所示,在路由器設置靜態路由。
圖 6
- 查看路由表中的靜態路由信息,具體信息如圖7所示,可以看到,在步驟4中配置的靜態路由已存入路由表中。
圖 7
- 在PC2終端對PC1終端進行ping操作,同樣也在PC1終端對PC2終端進行ping操作,檢驗網絡連通性,如圖8、圖9所示,PC1與PC2可相互Ping通,網絡連通。
圖 8
圖 9
- 設置基本的ACL,實現對接口的數據包進行過濾的功能。
圖 10
- 檢驗配置效果是否起效。如圖11所示,PC1無法Ping通PC3,表明ACL設置起效。
圖 11
四、實驗結果及分析
1. 實驗過程中遇到什么問題,如何解決的?通過該實驗有何收獲?
問題:
實驗中,發現PC1與PC2終端相互訪問過程中,出現訪問請求超時的情況,但是PC2訪問PC1所在的路由器可以連接成功,如圖12所示。
圖 12
解決:
由于PC2可訪問PC1所在的路由器,但是訪問不了PC1終端,表明在PC1終端與路由器之間的鏈路出現問題。排查后,由于PC1未關閉無線網,導致PC1上存在兩個網絡出口。當PC1連接了無線網絡后,操作系統可能會選擇無線網絡作為默認的網絡出口,即使有線網絡已經配置了正確的IP地址和默認網關。因此,當嘗試從PC2 ping PC1時,雖然數據包能夠到達PC1,但由于PC1的響應數據包可能通過無線網絡發出,而不是通過有線網絡,這就可能導致響應數據包沒有正確地返回到PC2,造成網絡不通的現象。
收獲
我初步了解了H3C路由器基本ACL的配置方法及其在網絡管理中的應用。實驗中遇到的PC1與PC2終端訪問請求超時問題,最終確定是由于PC1同時連接了無線網絡所致。這不僅提高了我們的故障排查能力,也讓我意識到網絡配置細節的重要性。
- 請按照PPT中第10頁表格的格式,給出你實際實驗時所使用的數據。
設備名稱 | 接口名稱 | IP地址 |
FangYang-R1 | E0/1 | 178.136.1.1 /24 |
FangYang-R1 | E0/2 | 178.136.2.1 /24 |
FangYang-R2 | E0/1 | 178.136.3.1 /24 |
FangYang-R2 | E0/2 | 178.136.2.2 /24 |
PC1 | GE0 | 178.136.1.2 /24 |
PC2 | GE0 | 178.136.3.2 /24 |
- 請使用Packet Tracer繪制本實驗拓撲圖,并且說明,如果PC1的IP地址改為192.168.5.2,H3C-R1的哪個端口要做相應修改,應該改成什么?這時候PC1的默認網關要改成什么?
答:
圖 13
與PC機連接的端口GE1需要進行修改,修改為192.168.5.1 /24。默認網關為192.168.5.1 /24。
4. 請使用自己的語言對以下實驗核心代碼做以簡單解釋
命令 | 作用 |
[H3C-R1]acl basic name PC1 | 創建一個新的ACL,命名為PC1 |
[H3C-R1-acl-ipv4-basic-PC1]rule deny source 192.168.2.0 0 | 定義一條拒絕規則,拒絕來自子網192.168.2.0/24的所有流量。 |
[H3C-R1-acl-ipv4-basic-PC1]quit | 退出ACL配置視圖,回到系統視圖。 |
[H3C-R1]interface GigabitEthernet0/1 | 進入Gigabit Ethernet 0/1接口的配置視圖。 |
[H3C-R1-GigabitEthernet0/1]packet-filter name PC1 inbound | 將名為PC1的ACL應用于Gigabit Ethernet 0/1接口的入站方向。 |
[H3C-R1-GigabitEthernet0/1]quit | 退出接口視圖,回到系統視圖。 |
配置高級ACL實現包過濾
一、實驗目的
1. 配置H3C路由器高級ACL及實現包過濾防火墻配置;
2. 熟悉ACL查看、監測和調試的相關命令;
二、實驗要求
1. 2臺具有4個以太網接口的路由器;
2. 3臺裝有Windows系列操作系統的PC(臺式機或筆記本);
3. 4條雙絞跳線(交叉線);
三、實驗步驟
1. 配置高級ACL實現包過濾。
對路由器FangYangGao-R1進行配置,具體配置如圖13、圖14所示,主要指令含義如下:
命令 | 作用 |
ip route-static 178.136.3.0 255.255.255.0 178.136.2.2 | 配置靜態路由,指定網絡為178.136.3.0 /24,下一跳地址為178.136.2.2 |
ip route-static 178.136.4.0 255.255.255.0 178.136.2.2 | 配置靜態路由,指定網絡為178.136.4.0 /24,下一跳地址為178.136.2.2 |
acl advanced name pc1-pc2 | 創建名為pc1-pc2的高級ACL |
rule deny ip source 178.136.1.2 0 destination on 178.136.3.0 0.0.0.255 | 在pc1-pc2的高級ACL下添加了一條規則,拒絕源地址為178.136.1.2的所有IP流量前往178.136.3.0/24的目的地。 |
acl advanced name pc2-telnet | 創建一個名為pc2-telnet的高級ACL |
rule permit tcp source 178.136.2.2 0 destination-port ? | 在pc2-telnet的高級ACL下添加一條允許TCP流量的規則,源IP地址為178.136.2.2需要進一步選擇端口條件。 |
rule permit tcp source 178.136.1.2 0 destination-port eq 23 | 在pc1-pc2的高級ACL下添加了一條規則,允許從IP地址178.136.1.2發出的、目標端口為23的TCP流量通過。 |
rule deny tcp source any destination-port eq 23 | 在pc1-pc2的高級ACL下添加了一條規則,阻止任何源IP向端口23進行TCP連接。 |
display this | 查看當前配置,可見上述配置生效。 |
圖 14
圖 15
圖 16
對路由器FangYangGao-R2進行配置,具體配置如圖16所示,主要指令含義如下:
命令 | 作用 |
system-view | 進入系統視圖。 |
ip route-static 178.136.3.0 255.255.255.0 178.136.2.1 | 配置一條靜態路由,指定網絡為178.136.3.0/24,下一跳地址為178.136.2.1 |
user-interface vty 0 4 | 用戶設置了虛擬端接口,允許通過VTY接口0-4進行遠程登錄。 |
authentication-mode scheme | 配置接口VTY的認證方式為scheme模式,采用預設認證方式進行身份驗證。 |
圖 17
- 從PC1上,使用ping命令訪問PC2的IP地址192.168.3.2,測試連通性。如圖17所示,通往178.136.3.2的IP流量被阻斷,訪問失敗,ACL生效。
圖 18
3. 從PC1上,使用ping命令訪問PC2的IP地址192.168.4.2,測試連通性。如圖18所示,PC1可以訪問PC2,符合定義的規則,ACL規則正確。
圖 19
4. 在H3C-R2上測試使用telnet訪問H3C-R1。路由器R2不能通過telnet方式對R1進行訪問,通往端口23的流量被阻斷,ACL生效。
圖 20
五、實驗結果及分析
1.?? 整個實驗過程中遇到什么問題(有截圖最好),如何解決的?通過該實驗有何收獲?
問題:
由于存在基礎ACL,高級ACL中的一部分IP地址與基本ACl沖突,導致實驗現象不明確,為刪除或禁用基礎ACL進行探究。
解決:
如圖20所示,在嘗試了undo acl name PC1、undo acl PC1 name、undo acl basic name等命令后,最終找到命令undo acl basic name PC1將基礎ACL-PC1禁用。
圖 21
收獲:
通過本次配置高級ACL實現包過濾的實驗,我進一步理解了ACL在網絡安全中的重要作用。實驗中,我們成功配置了H3C路由器上的高級ACL,實現了對特定IP地址及端口的訪問控制,確保了網絡的安全性和穩定性。例如,通過設置規則禁止了從178.136.1.2到178.136.3.0/24的所有IP流量,同時允許特定源地址的Telnet請求,有效防止了未經授權的訪問。然而,在實驗過程中也遇到了一些挑戰,如基礎ACL與高級ACL之間的沖突問題,認識到合理規劃ACL的重要性,學會了如何通過命令(如undo acl basic name PC1)來解決此類沖突,保證了實驗的順利進行。這些實踐經歷極大地提高了我對網絡管理和安全策略的理解和應用能力。
![[2-02-02].第03節:環境搭建 - Win10搭建ES集群環境](http://pic.xiahunao.cn/[2-02-02].第03節:環境搭建 - Win10搭建ES集群環境)
)
