计算机网络实验——配置ACL

ACL基础

一、实验目的

1. 配置H3C路由器基本ACL。

二、实验要求

1. 熟练掌握网络配置能力。

2. 熟练掌握ACL基本配置。

三、实验步骤

(1)使用reset saved-configuration命令和reboot命令,重置路由器原有配置,如图1所示。

图 1

(2)对路由器R2进行命名为FangYang-R2以便于区分。并且对路由器端口进行配置,具体配置如图2所示。配置E0/1端口IP和子网掩码ip address 178.136.3.1 /24;配置E0/2端口IP和子网掩码ip address 178.136.3.1 /24;类似的,在路由器R1进行相关配置,具体配置如图3所示。

图 2 路由器2的相关配置

图 3 路由器1的相关配置

  1. 对PC2进行IP地址和默认网关配置,IP地址为178.136.3.2 /24,默认网关为与PC2在同一网段的路由器IP 178.136.3.1 /24,如图4所示。类似的,对PC1进行相关操作,如图5所示。

图 4

图 5

  1. 如图6所示,在路由器设置静态路由。

图 6

  1. 查看路由表中的静态路由信息,具体信息如图7所示,可以看到,在步骤4中配置的静态路由已存入路由表中。

图 7

  1. 在PC2终端对PC1终端进行ping操作,同样也在PC1终端对PC2终端进行ping操作,检验网络连通性,如图8、图9所示,PC1与PC2可相互Ping通,网络连通。

图 8

图 9

  1. 设置基本的ACL,实现对接口的数据包进行过滤的功能。

图 10

  1. 检验配置效果是否起效。如图11所示,PC1无法Ping通PC3,表明ACL设置起效。

图 11

四、实验结果及分析

1. 实验过程中遇到什么问题,如何解决的?通过该实验有何收获?

问题:

实验中,发现PC1与PC2终端相互访问过程中,出现访问请求超时的情况,但是PC2访问PC1所在的路由器可以连接成功,如图12所示。

图 12

解决:

由于PC2可访问PC1所在的路由器,但是访问不了PC1终端,表明在PC1终端与路由器之间的链路出现问题。排查后,由于PC1未关闭无线网,导致PC1上存在两个网络出口。当PC1连接了无线网络后,操作系统可能会选择无线网络作为默认的网络出口,即使有线网络已经配置了正确的IP地址和默认网关。因此,当尝试从PC2 ping PC1时,虽然数据包能够到达PC1,但由于PC1的响应数据包可能通过无线网络发出,而不是通过有线网络,这就可能导致响应数据包没有正确地返回到PC2,造成网络不通的现象。

收获

我初步了解了H3C路由器基本ACL的配置方法及其在网络管理中的应用。实验中遇到的PC1与PC2终端访问请求超时问题,最终确定是由于PC1同时连接了无线网络所致。这不仅提高了我们的故障排查能力,也让我意识到网络配置细节的重要性。

  1. 请按照PPT中第10页表格的格式,给出你实际实验时所使用的数据。

设备名称

接口名称

IP地址

FangYang-R1

E0/1

178.136.1.1 /24

FangYang-R1

E0/2

178.136.2.1 /24

FangYang-R2

E0/1

178.136.3.1 /24

FangYang-R2

E0/2

178.136.2.2 /24

PC1

GE0

178.136.1.2 /24

PC2

GE0

178.136.3.2 /24

  1. 请使用Packet Tracer绘制本实验拓扑图,并且说明,如果PC1的IP地址改为192.168.5.2,H3C-R1的哪个端口要做相应修改,应该改成什么?这时候PC1的默认网关要改成什么?

答:

图 13

与PC机连接的端口GE1需要进行修改,修改为192.168.5.1 /24。默认网关为192.168.5.1 /24。

4. 请使用自己的语言对以下实验核心代码做以简单解释

命令

作用

[H3C-R1]acl basic name PC1

创建一个新的ACL,命名为PC1

[H3C-R1-acl-ipv4-basic-PC1]rule deny source 192.168.2.0 0

定义一条拒绝规则,拒绝来自子网192.168.2.0/24的所有流量。

[H3C-R1-acl-ipv4-basic-PC1]quit

退出ACL配置视图,回到系统视图。

[H3C-R1]interface GigabitEthernet0/1

进入Gigabit Ethernet 0/1接口的配置视图。

[H3C-R1-GigabitEthernet0/1]packet-filter name PC1 inbound

将名为PC1的ACL应用于Gigabit Ethernet 0/1接口的入站方向。

[H3C-R1-GigabitEthernet0/1]quit

退出接口视图,回到系统视图。

配置高级ACL实现包过滤

一、实验目的

1. 配置H3C路由器高级ACL及实现包过滤防火墙配置;

2. 熟悉ACL查看、监测和调试的相关命令;

二、实验要求

1. 2台具有4个以太网接口的路由器;

2. 3台装有Windows系列操作系统的PC(台式机或笔记本);

3. 4条双绞跳线(交叉线);

三、实验步骤

1. 配置高级ACL实现包过滤。

对路由器FangYangGao-R1进行配置,具体配置如图13、图14所示,主要指令含义如下:

命令

作用

ip route-static 178.136.3.0 255.255.255.0 178.136.2.2

配置静态路由,指定网络为178.136.3.0 /24,下一跳地址为178.136.2.2

ip route-static 178.136.4.0 255.255.255.0 178.136.2.2

配置静态路由,指定网络为178.136.4.0 /24,下一跳地址为178.136.2.2

acl advanced name pc1-pc2

创建名为pc1-pc2的高级ACL

rule deny ip source 178.136.1.2 0 destination on 178.136.3.0 0.0.0.255

在pc1-pc2的高级ACL下添加了一条规则,拒绝源地址为178.136.1.2的所有IP流量前往178.136.3.0/24的目的地。

acl advanced name pc2-telnet

创建一个名为pc2-telnet的高级ACL

rule permit tcp source 178.136.2.2 0 destination-port ?

在pc2-telnet的高级ACL下添加一条允许TCP流量的规则,源IP地址为178.136.2.2需要进一步选择端口条件。

rule permit tcp source 178.136.1.2 0 destination-port eq 23

在pc1-pc2的高级ACL下添加了一条规则,允许从IP地址178.136.1.2发出的、目标端口为23的TCP流量通过。

rule deny tcp source any destination-port eq 23

在pc1-pc2的高级ACL下添加了一条规则,阻止任何源IP向端口23进行TCP连接。

display this

查看当前配置,可见上述配置生效。

图 14

图 15

图 16

对路由器FangYangGao-R2进行配置,具体配置如图16所示,主要指令含义如下:

命令

作用

system-view

进入系统视图。

ip route-static 178.136.3.0 255.255.255.0 178.136.2.1

配置一条静态路由,指定网络为178.136.3.0/24,下一跳地址为178.136.2.1

user-interface vty 0 4

用户设置了虚拟端接口,允许通过VTY接口0-4进行远程登录。

authentication-mode scheme

配置接口VTY的认证方式为scheme模式,采用预设认证方式进行身份验证。

图 17

  1. 从PC1上,使用ping命令访问PC2的IP地址192.168.3.2,测试连通性。如图17所示,通往178.136.3.2的IP流量被阻断,访问失败,ACL生效。

图 18

3. 从PC1上,使用ping命令访问PC2的IP地址192.168.4.2,测试连通性。如图18所示,PC1可以访问PC2,符合定义的规则,ACL规则正确。

图 19

4. 在H3C-R2上测试使用telnet访问H3C-R1。路由器R2不能通过telnet方式对R1进行访问,通往端口23的流量被阻断,ACL生效。

图 20

五、实验结果及分析

1.   整个实验过程中遇到什么问题(有截图最好),如何解决的?通过该实验有何收获?

问题:

由于存在基础ACL,高级ACL中的一部分IP地址与基本ACl冲突,导致实验现象不明确,为删除或禁用基础ACL进行探究。

解决:

如图20所示,在尝试了undo acl name PC1、undo acl PC1 name、undo acl basic name等命令后,最终找到命令undo acl basic name PC1将基础ACL-PC1禁用。

图 21

收获:

通过本次配置高级ACL实现包过滤的实验,我进一步理解了ACL在网络安全中的重要作用。实验中,我们成功配置了H3C路由器上的高级ACL,实现了对特定IP地址及端口的访问控制,确保了网络的安全性和稳定性。例如,通过设置规则禁止了从178.136.1.2到178.136.3.0/24的所有IP流量,同时允许特定源地址的Telnet请求,有效防止了未经授权的访问。然而,在实验过程中也遇到了一些挑战,如基础ACL与高级ACL之间的冲突问题,认识到合理规划ACL的重要性,学会了如何通过命令(如undo acl basic name PC1)来解决此类冲突,保证了实验的顺利进行。这些实践经历极大地提高了我对网络管理和安全策略的理解和应用能力。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.pswp.cn/pingmian/88176.shtml
繁体地址,请注明出处:http://hk.pswp.cn/pingmian/88176.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

在本地部署mcp服务器实现自然语言操作mysql数据库,轻松实现数据表的增~ 删~ 改~ 查~

1.将写好的mcp_server代码放在本地任意盘! import asyncio import logging import os import sys from mysql.connector import connect, Error from mcp.server import Server from mcp.types import Resource, Tool, TextContent from pydantic import AnyUrl# Co…

2025快手创作者中心发布视频python实现

难度还行,只有一个__NS_sig3加密,流程麻烦点cookies_list cookie.split("; ")cookie_dict {}# 遍历每个 Cookie,根据等号将键值对拆分并添加到字典中for cookie in cookies_list:key_value cookie.split("")if len(ke…

Android 组件内核

文章目录什么是binder1. 什么是Binder?2. Binder架构组成3. 工作原理与通信流程1)服务注册2)服务查询3)通信过程4)核心数据结构4. 关键技术点5. 常见面试考点1)Binder与传统IPC(Socket、管道、共…

java类加载机制:Tomcat的类加载机制

Tomcat类加载机制深度解析:打破双亲委派的Web容器实现 Tomcat作为Java Web容器,其类加载机制为满足Web应用的隔离性、热部署和兼容性需求,对标准Java类加载机制进行了定制化扩展,核心是打破双亲委派模型并引入多层级类加载器。以下…

【PTA数据结构 | C语言版】从顺序表 list 中删除第 i 个元素

本专栏持续输出数据结构题目集,欢迎订阅。 文章目录题目代码题目 请编写程序,将 n 个整数存入顺序表,对任一指定的第 i 个位置,将这个位置上的元素从顺序表中删除。注意:i 代表位序,从 1 开始,…

VS2022 C++ EasyX库 扫雷游戏项目开发:打造经典游戏的详细之旅

老样子,先上效果 视频演示 C经典扫雷-介绍一、引言 在这篇博客中,我将详细介绍扫雷游戏项目的开发过程。扫雷作为一款经典的游戏,其规则简单但富有挑战性。通过开发这个项目,我不仅加深了对 C 编程的理解,还提升了自己…

Go语言网络游戏服务器模块化编程

本文以使用origin框架(一款使用Go语言写的开源游戏服务器框架)为例进行说明,当然也可以使用其它的框架或者自己写。 在框架中PBProcessor用来处理Protobuf消息,在使用之前,需要使用Register函数注册网络消息&#xff…

【机器人】Aether 多任务世界模型 | 4D动态重建 | 视频预测 | 视觉规划

Aether 是一个的世界模型,整合几何重建与生成建模的统一框架,实现类人空间推理能力。 来自ICCV 2025,该框架具有三大核心功能: (1) 4D动态重建,(2) 动作条件视频预测, (3) 目标条件视觉规划。 代码地址&…

MiniMind:3小时训练26MB微型语言模型,开源项目助力AI初学者快速入门

开发|界面|引擎|交付|副驾——重写全栈法则:AI原生的倍速造应用流来自全栈程序员 nine 的探索与实践,持续迭代中。 欢迎关注评论私信交流~ 在大型语言模型(LLaMA、GPT等)日益流行的今天,一个名为…

相机Camera日志实例分析之五:相机Camx【萌拍闪光灯后置拍照】单帧流程日志详解

【关注我,后续持续新增专题博文,谢谢!!!】 上一篇我们讲了: 这一篇我们开始讲: 目录 一、场景操作步骤 二、日志基础关键字分级如下 三、场景日志如下: 一、场景操作步骤 操作步…

[2-02-02].第03节:环境搭建 - Win10搭建ES集群环境

ElasticSearch学习大纲 基于ElasticSearch7.8版本 一、ElasticStack下载: 1.Elasticsearch 的官方地址 2.Elasticsearch 下载地址: 二、集群搭建: 第1步:创建es目录: 1.创建 elasticsearch-cluster 文件夹,在内部…

操作系统核心技术剖析:从Android驱动模型到鸿蒙微内核的国产化实践

目录 一、移动端操作系统技术细节 1. Android 内核版本 核心模块 驱动架构 国内定制案例 2. iOS XNU内核关键模块 安全机制 3. HarmonyOS 多内核架构 驱动隔离 二、PC端操作系统技术细节 1. Windows NT内核 模块分层 驱动模型 国内适配 2. macOS(X…

整合Spring、Spring MVC与MyBatis:构建高效Java Web应用

本文将详细讲解如何整合Spring、Spring MVC和MyBatis(SSM框架),通过一个人员信息查询案例展示完整开发流程。所有代码基于提供的文件实现。一、项目结构src/ ├── main/ │ ├── java/ │ │ └── com/ │ │ └── qcb…

视频插帧技术:从流畅观影到AI创作的革命

一、起源:为什么需要视频插帧? 视频的本质是连续播放的静态帧序列,帧率(FPS) 决定了流畅度。早期电影受限于拍摄技术和存储成本,普遍采用24FPS,而现代显示设备(如120Hz屏幕&#xf…

【一起来学AI大模型】PyTorch 实战示例:使用 BatchNorm 处理张量(Tensor)

PyTorch 实战示例 演示如何在神经网络中使用 BatchNorm 处理张量(Tensor),涵盖关键实现细节和常见陷阱。示例包含数据准备、模型构建、训练/推理模式切换及结果分析。示例场景:在 CIFAR-10 数据集上实现带 BatchNorm 的 CNNimport…

第8章:应用层协议HTTP、SDN软件定义网络、组播技术、QoS

应用层协议HTTP 应用层协议概述 应用层协议非常多,我们重点熟悉以下常见协议功能即可。 Telnet:远程登录协议,基于TCP 23端口,用于远程管理设备,采用明文传输。安全外壳协议 (SecureShell,SSH) ,基于TCP 22端口,用于…

uniapp页面间通信

uniapp中通过eventChannel实现页面间通信的方法,这是一种官方推荐的高效传参方式。我来解释下这种方式的完整实现和注意事项:‌发送页面(父页面)‌:uni.navigateTo({url: /pages/detail/detail,success: (res) > {/…

Android ViewModel机制与底层原理详解

Android 的 ViewModel 是 Jetpack 架构组件库的核心部分,旨在以生命周期感知的方式存储和管理与 UI 相关的数据。它的核心目标是解决两大痛点: 数据持久化: 在配置变更(如屏幕旋转、语言切换、多窗口模式切换)时保留数…

双倍硬件=双倍性能?TDengine线性扩展能力深度实测验证!

软件扩展能力是软件架构设计中的一个关键要素,具有良好扩展能力的软件能够充分利用新增的硬件资源。当软件性能与硬件增加保持同步比例增长时,我们称这种现象为软件具有线性扩展能力。要实现这种线性扩展并不简单,它要求软件架构精心设计&…

频繁迭代下完成iOS App应用上架App Store:一次快速交付项目的完整回顾

在一次面向商户的会员系统App开发中,客户要求每周至少更新一次版本,涉及功能迭代、UI微调和部分支付方案的更新。团队使用Flutter进行跨平台开发,但大部分成员日常都在Windows或Linux环境,只有一台云Mac用于打包。如何在高频率发布…