论文部分内容阅读
【摘 要】ACL的主要应用场合包括数据包过滤、路由控制、包过滤防火墙、网络地址转换、服务质量和按需拨号等方面,对于提高网络安全性有很好的效果。ACL配置分为两类,一类是基本ACL,一类是高级(扩展)ACL。本文主要介绍基本ACL的配置方法,用具体的拓扑给出配置要求,对实验原理进行分析,最后给出配置命令和验证方法。
【关键词】基本ACL 扩展ACL 源端口 目的端口
一、配置要求
基本访问控制列表只根据报文的源IP地址信息制定访问规则。本实验配置H3C路由器上的基本ACL,并开启防火墙功能,实现基于源地址的数据包过滤。
1.实验目的
通过本实验,可以掌握以下技能。
(1)配置H3C路由器基本ACL及包过滤防火墙配置。
(2)熟悉ACL查看、监测和调试的相关命令。
2.实验拓扑
本实验的拓扑结构和设备命名如图所示。
3.实验说明
本实验的配置说明如下。
第一,把用于调试的PC通过Console电缆连接到路由器的Console端口上。
第二,使用1条双绞线跳线将路由器H3C-R1的E0/0接口和H3C-R2的E0/0接口连接起来。使用2条双绞线跳线分别把PC1和PC2连接到路由器H3C-R1和H3C-R2的E0/1接口上。
第三,在路由器上通过配置和应用基本ACL来拒绝PC1的IP地址192.168.1.2访问PC2的IP地址192.168.3.2。
第四,查看及监测ACL配置和匹配情况。
本实验的配置准备数据见下表。
二、配置原理
本实验主要是完成基本ACL(访问控制列表)的配置,访问控制列表用来实现数据流识别功能。为了在网络设备上过滤报文,需要配置一系列的匹配条件来对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。基本ACL配置时,为了防止过滤掉必要的数据包,要将应用放到离源端口近的位置,而扩展ACL配置时,要将应用放到离目的端较近的位置。
三、实验配置及测试结果
连接好所有设备,给各设备加电后,开始进行实验。
1.配置基本ACL实现包过滤
在开始ACL相关配置之前,需要先进行路由器的基本配置,如设备命名、接口配置等,同时需要配置PCI、PC2的IP地址、默认网关等参数。接下来在H3C-R1上配置基本ACL,在E0/1接口上应用ACL,并在H3C-R1上开启包过滤防火墙功能。
2.测试ACL配置正确性
在PC1上使用Ping命令:C:\>ping 192.168.3,2,结果所有数据包全部丢失。更改PC1上的IP地址信息为192.168.1.3,子网掩码为24。使用Ping命令访问PC2的IP地址192.168.3.2,结果没有数据丢失。经过两次连通性的测试,可以看到当PC1使用的IP地址信息是192.168.1.2时不能访问到PC2,表示在H3C-R1的E0/0上设置的包过滤防火墙生效,阻止了数据包通过,当更改PC1的IP地址信息为192.168.1.3时,在H3C-R1上的ACL允许通过,则PC1能够访问到 PC2。
也可用display acl number命令在H3C-R1上查看IPv4 ACL的配置和运行情况,用display firewall-statistics all命令在在H3C-R1上查看IPv4防火墙的过滤报文统计信息。
四、小结
本文用特定案例对配置提出要求,根据ACL的原理分析配置方法,用具体的配置命令给出实现拓扑图要求的配置方法,并采用常用命令查看结果,验证了配置的正确性。
参考文献
[1]沈向余.H3C路由交换机配置实验指南[J].西安通信学院,2014,12
[2]沈向余.H3C路由交换机配置技术[J].西安通信学院,2014,7
[3]周海军,毕发社,邹顺.网络协议原理[J].西安通信学院,2008,6
【关键词】基本ACL 扩展ACL 源端口 目的端口
一、配置要求
基本访问控制列表只根据报文的源IP地址信息制定访问规则。本实验配置H3C路由器上的基本ACL,并开启防火墙功能,实现基于源地址的数据包过滤。
1.实验目的
通过本实验,可以掌握以下技能。
(1)配置H3C路由器基本ACL及包过滤防火墙配置。
(2)熟悉ACL查看、监测和调试的相关命令。
2.实验拓扑
本实验的拓扑结构和设备命名如图所示。
3.实验说明
本实验的配置说明如下。
第一,把用于调试的PC通过Console电缆连接到路由器的Console端口上。
第二,使用1条双绞线跳线将路由器H3C-R1的E0/0接口和H3C-R2的E0/0接口连接起来。使用2条双绞线跳线分别把PC1和PC2连接到路由器H3C-R1和H3C-R2的E0/1接口上。
第三,在路由器上通过配置和应用基本ACL来拒绝PC1的IP地址192.168.1.2访问PC2的IP地址192.168.3.2。
第四,查看及监测ACL配置和匹配情况。
本实验的配置准备数据见下表。
二、配置原理
本实验主要是完成基本ACL(访问控制列表)的配置,访问控制列表用来实现数据流识别功能。为了在网络设备上过滤报文,需要配置一系列的匹配条件来对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。基本ACL配置时,为了防止过滤掉必要的数据包,要将应用放到离源端口近的位置,而扩展ACL配置时,要将应用放到离目的端较近的位置。
三、实验配置及测试结果
连接好所有设备,给各设备加电后,开始进行实验。
1.配置基本ACL实现包过滤
在开始ACL相关配置之前,需要先进行路由器的基本配置,如设备命名、接口配置等,同时需要配置PCI、PC2的IP地址、默认网关等参数。接下来在H3C-R1上配置基本ACL,在E0/1接口上应用ACL,并在H3C-R1上开启包过滤防火墙功能。
2.测试ACL配置正确性
在PC1上使用Ping命令:C:\>ping 192.168.3,2,结果所有数据包全部丢失。更改PC1上的IP地址信息为192.168.1.3,子网掩码为24。使用Ping命令访问PC2的IP地址192.168.3.2,结果没有数据丢失。经过两次连通性的测试,可以看到当PC1使用的IP地址信息是192.168.1.2时不能访问到PC2,表示在H3C-R1的E0/0上设置的包过滤防火墙生效,阻止了数据包通过,当更改PC1的IP地址信息为192.168.1.3时,在H3C-R1上的ACL允许通过,则PC1能够访问到 PC2。
也可用display acl number命令在H3C-R1上查看IPv4 ACL的配置和运行情况,用display firewall-statistics all命令在在H3C-R1上查看IPv4防火墙的过滤报文统计信息。
四、小结
本文用特定案例对配置提出要求,根据ACL的原理分析配置方法,用具体的配置命令给出实现拓扑图要求的配置方法,并采用常用命令查看结果,验证了配置的正确性。
参考文献
[1]沈向余.H3C路由交换机配置实验指南[J].西安通信学院,2014,12
[2]沈向余.H3C路由交换机配置技术[J].西安通信学院,2014,7
[3]周海军,毕发社,邹顺.网络协议原理[J].西安通信学院,2008,6