ACL基础实验（HCIA）

一、实验拓扑

二、实验要求

PC1可以Telnet登录R1，不能ping通R1

PC1不能Telent登录R2，可以ping通R2

（PC1和PC2相反）

PC2不能Telnet登录R1，可以ping通R1

PC2可以Telent登录R2，不能ping通R2

三、实验思路和步骤

1.IP地址规划

规划两个广播域

192.168.1.0/24

192.168.1.1、192.168.1.2、192.168.1.3

192.168.2.0/24

192.168.2.1、192.168.2.2

2.配置IP地址

R1设备

<Huawei>system-view

[Huawei]sysname r1

[r1]interface g0/0/0

[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24

 [r1-GigabitEthernet0/0/0]interface g0/0/1

[r1-GigabitEthernet0/0/1]ip address 192.168.2.1 24

R2设备

<Huawei>system-view

[Huawei]sysname r2

[r2]interface g0/0/0

[r2-GigabitEthernet0/0/0]ip address 192.168.2.2 24

（用两个路由器来模拟PC端）

PC1（R1）设备

<Huawei>system-view

[Huawei]sysname pc1

[pc1]interface e0/0/0

[pc1-Ethernet0/0/0]ip address 192.168.1.2 24

[pc1-Ethernet0/0/0]q

[pc1]ip route-static 0.0.0.0 0 192.168.1.1

（写缺省类似于网关）

PC2（R2）设备

<Huawei>system-view

[Huawei]sysname pc2

[pc2]interface e0/0/0

[pc2-Ethernet0/0/0]ip address 192.168.1.3 24

[pc2-Ethernet0/0/0]q

[pc2]ip route-static 0.0.0.0 0 192.168.1.1

写完IP地址，现在去实现全网可达，解决路由问题

（两个广播域都有了R1，所以R1不需要写路由）

3.全网可达

R2设备：[r2]ip route-static 192.168.1.0 24 192.168.2.1

实现全网可达以后考虑ACL问题

4.开启telnet服务

R1设备

[r1]aaa    //起aaa（协议）

[r1-aaa]local-user jian privilege level 15 password cipher 1

（账户  权限  密码）

[r1-aaa]local-user jian service-type telnet   //选择远程控制方式

[r1-aaa]q

[r1]user-interface vty 0 4      //进入虚拟终端线

[r1-ui-vty0-4]authentication-mode aaa       //认证模式为aaa

R2设备

[r2]aaa

[r2-aaa]local-user jian privilege level 15 password cipher 2

[r2-aaa]local-user jian service-type telnet         //选择远程控制方式

[r2-aaa]q

[r2]user-interface vty 0 4            //进入虚拟终端线

[r2-ui-vty0-4]authentication-mode aaa       //认证模式为aaa

检查

<pc2>telnet 192.168.1.1

<pc2>telnet 192.168.2.2

5.ACL（访问控制列表）

题目需求最合适的位置在R1GE0/0/0接口的入方向

分析

192.168.1.2   192.168.1.1   icmp       不能ping

192.168.1.2   192.168.2.1   icmp       不能ping

192.168.1.2   192.168.2.2   tcp   23    不能telnet  （tcp23号端口）

192.168.1.3   192.168.1.1   tcp   23    不能telnet

192.168.1.3   192.168.2.1   tcp   23    不能telnet

192.168.1.3   192.168.2.2   icmp        不能ping

（以上全是拒绝的规则）

操作

[r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.1.1 0

[r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.2.1 0

[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.2.2 0 destination-port eq 23

[r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.1.1 0 destination-port eq 23

[r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.2.1 0 destination-port eq 23

[r1-acl-adv-3000]rule deny icmp source 192.168.1.3 0 destination 192.168.2.2 0

查看

[r1-acl-adv-3000]display this

写完我们将这个策略调用到R1GE0/0/0 接口的入方向

调用

[r1]interface g0/0/0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000  //在接口的入方向调用acl

6.最终验证

PC1

<pc1>ping 192.168.1.1

<pc1>ping 192.168.2.1

<pc1>telnet 192.168.1.1

<pc1>ping 192.168.2.2

<pc1>telnet 192.168.2.2

PC2

<pc2>ping 192.168.1.1

<pc2>ping 192.168.2.1

<pc2>telnet 192.168.1.1

<pc2>ping 192.168.2.2

<pc2>telnet 192.168.2.2

实验总结

       该实验最开始就应该去根据规划配置IP地址，接着配置路由实现全网可达，然后再开启telnet服务，最后判断调用的最佳位置，根据需求写一张ACL（访问控制列表）。