H3CNE中ACL访问控制实验

1、实验需求：

根据拓扑图中的IP地址对所有设备进行地址配置，使其能够实现全网通，在server上配置telnet服务。
通过使用ACL访问控制，实现192.168.1.0网段无法访问192.168.2.0服务，PC1能够访问telnet服务，PC2无法访问telnet服务。PC3无法访问server1。

2、实验拓扑

3、实验步骤

（1）根据图中的IP对设备进行接口配置，此部分省略。
（2）由于H3C模拟器中的PC无法使用telnet服务，所以使用路由器模拟，路由器模拟PC，需要配置网关，否则全网通也无法实现通信，其它PC同样如此进行配置。
PC1：

[H3C]int g 0/0
[H3C-GigabitEthernet0/0]ip add 192.168.1.1 24
[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254  配置静态路由指向网关

（3）配置Rip使其实现全网通。
R1：

[H3C]rip 1
[H3C-rip-1]version 2
[H3C-rip-1]undo summary
[H3C-rip-1]network 192.168.1.0
[H3C-rip-1]network 192.168.10.0

R2：

[H3C]rip 1
[H3C-rip-1]version 2
[H3C-rip-1]undo summary
[H3C-rip-1]network 192.168.10.0
[H3C-rip-1]network 192.168.3.0
[H3C-rip-1]network 192.168.2.0

（4）使用基本ACL实现192.168.1.0网段无法访问192.168.2.0网段。
R2：

[H3C]acl basic 2000    配置基本ACL
[H3C-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255  配置拒绝的IP网段，配置反掩码，若配置单独的IP，需要配置掩码为0.0.0.0
[H3C]int g 0/2
[H3C-GigabitEthernet0/2]packet-filter 2000 outbound    在合适的方向上应用。

标准acl配置命令：
acl basic 2000—2999
rule permit/deny source +源网段+通配符掩码

（5）测试PC1是否无法访问PC3.
PC1：

<H3C>ping 192.168.2.1
Ping 192.168.2.1 (192.168.2.1): 56 data bytes, press CTRL+C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 192.168.2.1 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
<H3C>%May  6 14:55:58:882 2022 H3C PING/6/PING_STATISTICS: Ping statistics for 192.168.2.1: 5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss.

（6）在server上配置telnet服务，这里为了方便配置一个无需密码登录的服务。
server1：

[H3C]telnet server enable
[H3C]line vty 0 4
[H3C-line-vty0-4]authentication-mode none

（7）使用PC1测试是否能够正常访问server1上的telnet服务。
PC1：

<H3C>telnet 192.168.3.1
Trying 192.168.3.1 ...
Press CTRL+K to abort
Connected to 192.168.3.1 ...

******************************************************************************
* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent,                                 *
* no decompiling or reverse-engineering shall be allowed.                    *
******************************************************************************

<H3C>

（8）使用高级ACL实现PC1无法访问服务器的telnet服务,高级ACL不会造成误过滤，所以可以选择最近的路由器进行配置
R1:

[H3C]acl advanced 3000   创建高级ACL
[H3C-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 23   限制源地址至目的地址所需要访问的端口
[H3C-acl-ipv4-adv-3000]quit
[H3C]int g 0/0
[H3C-GigabitEthernet0/0]packet-filter 3000 inbound  在合适的方向上应用

高级acl的配置命令：
acl advanced 3000 – 3999
rule permit/deny +协议+source +源网段+通配符 +destination +目的网段+通配符 +destination-port eq +端口号

（9）使用PC1测试是否已实现无法访问server1的telnet服务。
PC1：

<H3C>telnet 192.168.3.1
Trying 192.168.3.1 ...
Press CTRL+K to abort
Connected to 192.168.3.1 ...
Failed to connect to the remote host!
<H3C>

（10）使用高级ACL实现PC3无法访问server1服务器。
R2：

[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule deny ip source 192.168.2.1 0 destination 192.168.3.1 0
[H3C]int g 0/2
[H3C-GigabitEthernet0/2]packet-filter 3000 inbound 在合适的方向上应用

（11）使用PC3测试是否实现无法访问server1。
PC3：

[H3C]ping 192.168.3.1
Ping 192.168.3.1 (192.168.3.1): 56 data bytes, press CTRL+C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 192.168.3.1 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
[H3C]%May  6 15:23:31:217 2022 H3C PING/6/PING_STATISTICS: Ping statistics for 192.168.3.1: 5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss.