计算机网络实验——配置ACL

ACL基础

一、实验目的

1. 配置H3C路由器基本ACL。

二、实验要求

1. 熟练掌握网络配置能力。

2. 熟练掌握ACL基本配置。

三、实验步骤

（1）使用reset saved-configuration命令和reboot命令，重置路由器原有配置，如图1所示。

图 1

（2）对路由器R2进行命名为FangYang-R2以便于区分。并且对路由器端口进行配置，具体配置如图2所示。配置E0/1端口IP和子网掩码ip address 178.136.3.1 /24；配置E0/2端口IP和子网掩码ip address 178.136.3.1 /24；类似的，在路由器R1进行相关配置，具体配置如图3所示。

图 2 路由器2的相关配置

图 3 路由器1的相关配置

1. 对PC2进行IP地址和默认网关配置，IP地址为178.136.3.2 /24，默认网关为与PC2在同一网段的路由器IP 178.136.3.1 /24，如图4所示。类似的，对PC1进行相关操作，如图5所示。

图 4

图 5

1. 如图6所示，在路由器设置静态路由。

图 6

1. 查看路由表中的静态路由信息，具体信息如图7所示，可以看到，在步骤4中配置的静态路由已存入路由表中。

图 7

1. 在PC2终端对PC1终端进行ping操作，同样也在PC1终端对PC2终端进行ping操作，检验网络连通性，如图8、图9所示，PC1与PC2可相互Ping通，网络连通。

图 8

图 9

1. 设置基本的ACL，实现对接口的数据包进行过滤的功能。

图 10

1. 检验配置效果是否起效。如图11所示，PC1无法Ping通PC3，表明ACL设置起效。

图 11

四、实验结果及分析

1. 实验过程中遇到什么问题，如何解决的？通过该实验有何收获？

问题：

实验中，发现PC1与PC2终端相互访问过程中，出现访问请求超时的情况，但是PC2访问PC1所在的路由器可以连接成功，如图12所示。

图 12

解决：

由于PC2可访问PC1所在的路由器，但是访问不了PC1终端，表明在PC1终端与路由器之间的链路出现问题。排查后，由于PC1未关闭无线网，导致PC1上存在两个网络出口。当PC1连接了无线网络后，操作系统可能会选择无线网络作为默认的网络出口，即使有线网络已经配置了正确的IP地址和默认网关。因此，当尝试从PC2 ping PC1时，虽然数据包能够到达PC1，但由于PC1的响应数据包可能通过无线网络发出，而不是通过有线网络，这就可能导致响应数据包没有正确地返回到PC2，造成网络不通的现象。

收获

我初步了解了H3C路由器基本ACL的配置方法及其在网络管理中的应用。实验中遇到的PC1与PC2终端访问请求超时问题，最终确定是由于PC1同时连接了无线网络所致。这不仅提高了我们的故障排查能力，也让我意识到网络配置细节的重要性。

1. 请按照PPT中第10页表格的格式，给出你实际实验时所使用的数据。

|-------------|------|-----------------|
| 设备名称 | 接口名称 | IP地址 |
| FangYang-R1 | E0/1 | 178.136.1.1 /24 |
| FangYang-R1 | E0/2 | 178.136.2.1 /24 |
| FangYang-R2 | E0/1 | 178.136.3.1 /24 |
| FangYang-R2 | E0/2 | 178.136.2.2 /24 |
| PC1 | GE0 | 178.136.1.2 /24 |
| PC2 | GE0 | 178.136.3.2 /24 |

1. 请使用Packet Tracer绘制本实验拓扑图，并且说明，如果PC1的IP地址改为192.168.5.2，H3C-R1的哪个端口要做相应修改，应该改成什么？这时候PC1的默认网关要改成什么？

答：

图 13

与PC机连接的端口GE1需要进行修改，修改为192.168.5.1 /24。默认网关为192.168.5.1 /24。

4. 请使用自己的语言对以下实验核心代码做以简单解释

|-------------------------------------------------------------|-------------------------------------------|
| 命令 | 作用 |
| [H3C-R1]acl basic name PC1 | 创建一个新的ACL，命名为PC1 |
| [H3C-R1-acl-ipv4-basic-PC1]rule deny source 192.168.2.0 0 | 定义一条拒绝规则，拒绝来自子网192.168.2.0/24的所有流量。 |
| [H3C-R1-acl-ipv4-basic-PC1]quit | 退出ACL配置视图，回到系统视图。 |
| [H3C-R1]interface GigabitEthernet0/1 | 进入Gigabit Ethernet 0/1接口的配置视图。 |
| [H3C-R1-GigabitEthernet0/1]packet-filter name PC1 inbound | 将名为PC1的ACL应用于Gigabit Ethernet 0/1接口的入站方向。 |
| [H3C-R1-GigabitEthernet0/1]quit | 退出接口视图，回到系统视图。 |

配置高级ACL实现包过滤

一、实验目的

1. 配置H3C路由器高级ACL及实现包过滤防火墙配置；

2. 熟悉ACL查看、监测和调试的相关命令；

二、实验要求

1. 2台具有4个以太网接口的路由器；

2. 3台装有Windows系列操作系统的PC（台式机或笔记本）；

3. 4条双绞跳线（交叉线）；

三、实验步骤

1. 配置高级ACL实现包过滤。

对路由器FangYangGao-R1进行配置，具体配置如图13、图14所示，主要指令含义如下：

|------------------------------------------------------------------------|----------------------------------------------------------------------|
| 命令 | 作用 |
| ip route-static 178.136.3.0 255.255.255.0 178.136.2.2 | 配置静态路由，指定网络为178.136.3.0 /24，下一跳地址为178.136.2.2 |
| ip route-static 178.136.4.0 255.255.255.0 178.136.2.2 | 配置静态路由，指定网络为178.136.4.0 /24，下一跳地址为178.136.2.2 |
| acl advanced name pc1-pc2 | 创建名为pc1-pc2的高级ACL |
| rule deny ip source 178.136.1.2 0 destination on 178.136.3.0 0.0.0.255 | 在pc1-pc2的高级ACL下添加了一条规则，拒绝源地址为178.136.1.2的所有IP流量前往178.136.3.0/24的目的地。 |
| acl advanced name pc2-telnet | 创建一个名为pc2-telnet的高级ACL |
| rule permit tcp source 178.136.2.2 0 destination-port ? | 在pc2-telnet的高级ACL下添加一条允许TCP流量的规则，源IP地址为178.136.2.2需要进一步选择端口条件。 |
| rule permit tcp source 178.136.1.2 0 destination-port eq 23 | 在pc1-pc2的高级ACL下添加了一条规则，允许从IP地址178.136.1.2发出的、目标端口为23的TCP流量通过。 |
| rule deny tcp source any destination-port eq 23 | 在pc1-pc2的高级ACL下添加了一条规则，阻止任何源IP向端口23进行TCP连接。 |
| display this | 查看当前配置，可见上述配置生效。 |

图 14

图 15

图 16

对路由器FangYangGao-R2进行配置，具体配置如图16所示，主要指令含义如下：

|-------------------------------------------------------|------------------------------------------------|
| 命令 | 作用 |
| system-view | 进入系统视图。 |
| ip route-static 178.136.3.0 255.255.255.0 178.136.2.1 | 配置一条静态路由，指定网络为178.136.3.0/24，下一跳地址为178.136.2.1 |
| user-interface vty 0 4 | 用户设置了虚拟端接口，允许通过VTY接口0-4进行远程登录。 |
| authentication-mode scheme | 配置接口VTY的认证方式为scheme模式，采用预设认证方式进行身份验证。 |

图 17

1. 从PC1上，使用ping命令访问PC2的IP地址192.168.3.2，测试连通性。如图17所示，通往178.136.3.2的IP流量被阻断，访问失败，ACL生效。

图 18

3. 从PC1上，使用ping命令访问PC2的IP地址192.168.4.2，测试连通性。如图18所示，PC1可以访问PC2，符合定义的规则，ACL规则正确。

图 19

4. 在H3C-R2上测试使用telnet访问H3C-R1。路由器R2不能通过telnet方式对R1进行访问，通往端口23的流量被阻断，ACL生效。

图 20

五、实验结果及分析

1. 整个实验过程中遇到什么问题（有截图最好），如何解决的？通过该实验有何收获？

问题：

由于存在基础ACL，高级ACL中的一部分IP地址与基本ACl冲突，导致实验现象不明确，为删除或禁用基础ACL进行探究。

解决：

如图20所示，在尝试了undo acl name PC1、undo acl PC1 name、undo acl basic name等命令后，最终找到命令undo acl basic name PC1将基础ACL-PC1禁用。

图 21

收获：

通过本次配置高级ACL实现包过滤的实验，我进一步理解了ACL在网络安全中的重要作用。实验中，我们成功配置了H3C路由器上的高级ACL，实现了对特定IP地址及端口的访问控制，确保了网络的安全性和稳定性。例如，通过设置规则禁止了从178.136.1.2到178.136.3.0/24的所有IP流量，同时允许特定源地址的Telnet请求，有效防止了未经授权的访问。然而，在实验过程中也遇到了一些挑战，如基础ACL与高级ACL之间的冲突问题，认识到合理规划ACL的重要性，学会了如何通过命令（如undo acl basic name PC1）来解决此类冲突，保证了实验的顺利进行。这些实践经历极大地提高了我对网络管理和安全策略的理解和应用能力。