基本ACL配置实例

基本ACL配置实例

作者：阎婷李晖徐莎莎刘晶

来源：《考试与评价》2016年第06期

【摘要】ACL的主要应用场合包括数据包过滤、路由控制、包过滤防火墙、网络地址转换、服务质量和按需拨号等方面，对于提高网络安全性有很好的效果。ACL配置分为两类，一类是基本ACL，一类是高级（扩展）ACL。本文主要介绍基本ACL的配置方法，用具体的拓扑给出配置要求，对实验原理进行分析，最后给出配置命令和验证方法。

【关键词】基本ACL 扩展ACL 源端口目的端口

一、配置要求

基本访问控制列表只根据报文的源IP地址信息制定访问规则。本实验配置H3C路由器上的基本ACL，并开启防火墙功能，实现基于源地址的数据包过滤。

1.实验目的

通过本实验，可以掌握以下技能。

（1）配置H3C路由器基本ACL及包过滤防火墙配置。

（2）熟悉ACL查看、监测和调试的相关命令。

2.实验拓扑

本实验的拓扑结构和设备命名如图所示。

3.实验说明

本实验的配置说明如下。

第一，把用于调试的PC通过Console电缆连接到路由器的Console端口上。

第二，使用1条双绞线跳线将路由器H3C-R1的E0/0接口和H3C-R2的E0/0接口连接起来。使用2条双绞线跳线分别把PC1和PC2连接到路由器H3C-R1和H3C-R2的E0/1接口上。

第三，在路由器上通过配置和应用基本ACL来拒绝PC1的IP地址192.168.1.2访问PC2的IP地址192.168.3.2。

第四，查看及监测ACL配置和匹配情况。

本实验的配置准备数据见下表。

二、配置原理

本实验主要是完成基本ACL（访问控制列表）的配置，访问控制列表用来实现数据流识别功能。为了在网络设备上过滤报文，需要配置一系列的匹配条件来对报文进行分类，这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后，即根据当前端口上应用的ACL规则对报文的字段进行分析，在识别出特定的报文之后，根据预先设定的策略允许或禁止该报文通过。基本ACL配置时，为了防止过滤掉必要的数据包，要将应用放到离源端口近的位置，而扩展ACL配置时，要将应用放到离目的端较近的位置。

三、实验配置及测试结果

连接好所有设备，给各设备加电后，开始进行实验。

1.配置基本ACL实现包过滤

在开始ACL相关配置之前，需要先进行路由器的基本配置，如设备命名、接口配置等，同时需要配置PCI、PC2的IP地址、默认网关等参数。接下来在H3C-R1上配置基本ACL，在E0/1接口上应用ACL，并在H3C-R1上开启包过滤防火墙功能。

2.测试ACL配置正确性

在PC1上使用Ping命令：C：＼>ping 192.168.3，2，结果所有数据包全部丢失。更改

PC1上的IP地址信息为192.168.1.3，子网掩码为24。使用Ping命令访问PC2的IP地址192.168.3.2，结果没有数据丢失。经过两次连通性的测试，可以看到当PC1使用的IP地址信息是192.168.1.2时不能访问到PC2，表示在H3C-R1的E0/0上设置的包过滤防火墙生效，阻止了数据包通过，当更改PC1的IP地址信息为192.168.1.3时，在H3C-R1上的ACL允许通过，则PC1能够访问到 PC2。

也可用display acl number命令在H3C-R1上查看IPv4 ACL的配置和运行情况，用display firewall-statistics all命令在在H3C-R1上查看IPv4防火墙的过滤报文统计信息。

四、小结

本文用特定案例对配置提出要求，根据ACL的原理分析配置方法，用具体的配置命令给出实现拓扑图要求的配置方法，并采用常用命令查看结果，验证了配置的正确性。

参考文献

[1]沈向余.H3C路由交换机配置实验指南[J].西安通信学院，2014，12

[2]沈向余.H3C路由交换机配置技术[J].西安通信学院，2014，7

[3]周海军，毕发社，邹顺.网络协议原理[J].西安通信学院，2008，6