L0000037ACL原理及其配置(中文版11).doc

第1章 ACL包过滤实验 2 1.1 实验内容 2 1.2 基于基本ACL的包过滤 2 1.2.1 实验目的 2 1.2.2 实验环境 2 1.2.3 实验步骤 2 1.3 基于高级ACL的包过滤 4 1.3.1 实验目的 4 1.3.2 实验环境 4 1.3.3 实验组网图 4 1.3.4 实验步骤 4 1.4 基于二层ACL的包过滤 6 1.4.1 实验目的 6 1.4.2 实验环境 6 1.4.3 实验组网图 6 1.4.4 实验步骤 6 ACL包过滤实验 实验内容 基于基本ACL的包过滤 基于高级ACL的包过滤 基于二层ACL的包过滤 基于基本ACL的包过滤 实验目的 1、帮助读者理解并验证Quidway交换机的基本ACL包过滤功能。 实验环境 1、Quidway系列S3526E交换机1台，VRP版本为：VRP (R) Software, Version 3.10 (NA), RELEASE 0013(G) ； 2、PC 3台，网线3根、配置电缆1根； 实验组网图 实验步骤 首先请按照如上的组网图连接所有设备。 3台PC的IP地址如下： PC1的IP：10.110.34.125 Mask：255.255.248.0 Gateway：10.110.32.1 PC2的IP：10.100.1.122 Mask：255.255.255.0 Gateway：10.100.1.1 PC3的IP：10.100.2.117 Mask：255.255.255.0 Gateway：10.100.2.1 在S3536E交换机上配置VLAN以及VLAN接口，使网络达到互通： [Quidway]interface Vlan-interface 1 [Quidway-Vlan-interface1]ip address 10.110.32.1 255.255.248.0 [Quidway-Vlan-interface1]vlan 2 [Quidway-vlan2]port Ethernet 0/9 to Ethernet 0/16 [Quidway-vlan2]int vlan 2 [Quidway-Vlan-interface2]ip add 10.100.1.1 255.255.255.0 [Quidway-Vlan-interface2]vlan 3 [Quidway-vlan3]port Ethernet 0/17 to Ethernet 0/24 [Quidway-vlan3]int vlan 3 [Quidway-Vlan-interface3]ip add 10.100.2.1 255.255.255.0 完成上述配置之后，大家可以分别在三台PC上ping一下其他两台，看是否能够ping通。 接下来请在S3536E交换机上配置一个基本ACL，并应用包过滤限制来自PC2的访问，其具体配置如下： [Quidway]acl name denypc2 basic //定义名为“denypc2”的基本ACL（ACL也可用数字进行标识，基本ACL的数字标识为1～99） [Quidway-acl-basic-denypc2]rule 1 deny source 10.100.1.122 0 //定义一条ACL规则，禁止源地址为10.100.1.122的数据包访问（这里用的是主机地址，也可用一个网段） [Quidway-acl-basic-denypc2]quit [Quidway]packet-filter ip-group denypc2 //激活访问控制列表，也可以只激活其中的某条特定规则（加上rule字段，大家可以试一下） 完成上述配置之后，如果从PC2 ping向PC1，大家可以看到不能ping通，而从PC3则仍然可以ping通。同样从PC2也无法ping通PC3。 可用命令display acl runtime all来查看ACL的运行情况。 思考题： 关于匹配顺序：在定义ACL的同时，我们也可以定义ACL的匹配顺序（match-order），当一条ACL中有多条规则时，匹配顺序决定了如何对这些规则进行匹配。华为Quidway系列交换机上提供了两种匹配顺序：auto和config。其中auto为系统缺省的匹配顺序，即“深度优先”，而config则是根据配置的顺序。大家如果对此感兴趣，可以自己设计实验来验证一下这两种匹配顺序的区别。 基于高级ACL的包过滤 实验目的 1、帮助读者理解并验证Quidway交换机的高级ACL的包过滤功能。 实验环境 1、Quidway系列S3526E交换机1台，VRP版本为：VRP (R) Software, Version 3.10 (NA), RELEA