1、实验需求:
??根据拓扑图中的IP地址对所有设备进行地址配置,使其能够实现全网通,在server上配置telnet服务。
??通过使用ACL访问控制,实现192.168.1.0网段无法访问192.168.2.0服务,PC1能够访问telnet服务,PC2无法访问telnet服务。PC3无法访问server1。
2、实验拓扑
3、实验步骤
(1)根据图中的IP对设备进行接口配置,此部分省略。
(2)由于H3C模拟器中的PC无法使用telnet服务,所以使用路由器模拟,路由器模拟PC,需要配置网关,否则全网通也无法实现通信,其它PC同样如此进行配置。
PC1:
[H3C]int g 0/0
[H3C-GigabitEthernet0/0]ip add 192.168.1.1 24
[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 配置静态路由指向网关
(3)配置Rip使其实现全网通。
R1:
[H3C]rip 1
[H3C-rip-1]version 2
[H3C-rip-1]undo summary
[H3C-rip-1]network 192.168.1.0
[H3C-rip-1]network 192.168.10.0
R2:
[H3C]rip 1
[H3C-rip-1]version 2
[H3C-rip-1]undo summary
[H3C-rip-1]network 192.168.10.0
[H3C-rip-1]network 192.168.3.0
[H3C-rip-1]network 192.168.2.0
(4)使用基本ACL实现192.168.1.0网段无法访问192.168.2.0网段。
R2:
[H3C]acl basic 2000 配置基本ACL
[H3C-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255 配置拒绝的IP网段,配置反掩码,若配置单独的IP,需要配置掩码为0.0.0.0
[H3C]int g 0/2
[H3C-GigabitEthernet0/2]packet-filter 2000 outbound 在合适的方向上应用。
标准acl配置命令:
??acl basic 2000—2999
??rule permit/deny source +源网段+通配符掩码
(5)测试PC1是否无法访问PC3.
PC1:
<H3C>ping 192.168.2.1
Ping 192.168.2.1 (192.168.2.1): 56 data bytes, press CTRL+C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- Ping statistics for 192.168.2.1 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
<H3C>%May 6 14:55:58:882 2022 H3C PING/6/PING_STATISTICS: Ping statistics for 192.168.2.1: 5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss.
(6)在server上配置telnet服务,这里为了方便配置一个无需密码登录的服务。
server1:
[H3C]telnet server enable
[H3C]line vty 0 4
[H3C-line-vty0-4]authentication-mode none
(7)使用PC1测试是否能够正常访问server1上的telnet服务。
PC1:
<H3C>telnet 192.168.3.1
Trying 192.168.3.1 ...
Press CTRL+K to abort
Connected to 192.168.3.1 ...
******************************************************************************
* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<H3C>
(8)使用高级ACL实现PC1无法访问服务器的telnet服务,高级ACL不会造成误过滤,所以可以选择最近的路由器进行配置
R1:
[H3C]acl advanced 3000 创建高级ACL
[H3C-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 23 限制源地址至目的地址所需要访问的端口
[H3C-acl-ipv4-adv-3000]quit
[H3C]int g 0/0
[H3C-GigabitEthernet0/0]packet-filter 3000 inbound 在合适的方向上应用
高级acl的配置命令:
??acl advanced 3000 – 3999
??rule permit/deny +协议+source +源网段+通配符 +destination +目的网段+通配符 +destination-port eq +端口号
(9)使用PC1测试是否已实现无法访问server1的telnet服务。
PC1:
<H3C>telnet 192.168.3.1
Trying 192.168.3.1 ...
Press CTRL+K to abort
Connected to 192.168.3.1 ...
Failed to connect to the remote host!
<H3C>
(10)使用高级ACL实现PC3无法访问server1服务器。
R2:
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule deny ip source 192.168.2.1 0 destination 192.168.3.1 0
[H3C]int g 0/2
[H3C-GigabitEthernet0/2]packet-filter 3000 inbound 在合适的方向上应用
(11)使用PC3测试是否实现无法访问server1。
PC3:
[H3C]ping 192.168.3.1
Ping 192.168.3.1 (192.168.3.1): 56 data bytes, press CTRL+C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- Ping statistics for 192.168.3.1 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
[H3C]%May 6 15:23:31:217 2022 H3C PING/6/PING_STATISTICS: Ping statistics for 192.168.3.1: 5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss.
注:
1:一个接口一个方向同时只允许配置一个ACL策略。
2:写策略时,若需要禁止一个网段,只允许该网段其中一个IP通过,那么一定要先写允许策略再写拒绝策略。
3:查看设备下所有的策略信息。
<H3C>display acl all
