【摘 要】ACL的主要應用場合包括數(shù)據(jù)包過濾、路由控制、包過濾防火墻、網(wǎng)絡地址轉換、服務質量和按需撥號等方面，對于提高網(wǎng)絡安全性有很好的效果。ACL配置分為兩類，一類是基本ACL，一類是高級（擴展）ACL。本文主要介紹基本ACL的配置方法，用具體的拓撲給出配置要求，對實驗原理進行分析，最后給出配置命令和驗證方法。

【關鍵詞】基本ACL 擴展ACL 源端口 目的端口

一、配置要求

基本訪問控制列表只根據(jù)報文的源IP地址信息制定訪問規(guī)則。本實驗配置H3C路由器上的基本ACL，并開啟防火墻功能，實現(xiàn)基于源地址的數(shù)據(jù)包過濾。

1.實驗目的

通過本實驗，可以掌握以下技能。

（1）配置H3C路由器基本ACL及包過濾防火墻配置。

（2）熟悉ACL查看、監(jiān)測和調試的相關命令。

2.實驗拓撲

本實驗的拓撲結構和設備命名如圖所示。

3.實驗說明

本實驗的配置說明如下。

第一，把用于調試的PC通過Console電纜連接到路由器的Console端口上。

第二，使用1條雙絞線跳線將路由器H3C-R1的E0/0接口和H3C-R2的E0/0接口連接起來。使用2條雙絞線跳線分別把PC1和PC2連接到路由器H3C-R1和H3C-R2的E0/1接口上。

第三，在路由器上通過配置和應用基本ACL來拒絕PC1的IP地址192.168.1.2訪問PC2的IP地址192.168.3.2。

第四，查看及監(jiān)測ACL配置和匹配情況。

本實驗的配置準備數(shù)據(jù)見下表。

二、配置原理

本實驗主要是完成基本ACL（訪問控制列表）的配置，訪問控制列表用來實現(xiàn)數(shù)據(jù)流識別功能。為了在網(wǎng)絡設備上過濾報文，需要配置一系列的匹配條件來對報文進行分類，這些條件可以是報文的源地址、目的地址、端口號等。當設備的端口接收到報文后，即根據(jù)當前端口上應用的ACL規(guī)則對報文的字段進行分析，在識別出特定的報文之后，根據(jù)預先設定的策略允許或禁止該報文通過?；続CL配置時，為了防止過濾掉必要的數(shù)據(jù)包，要將應用放到離源端口近的位置，而擴展ACL配置時，要將應用放到離目的端較近的位置。

三、實驗配置及測試結果

連接好所有設備，給各設備加電后，開始進行實驗。

1.配置基本ACL實現(xiàn)包過濾

在開始ACL相關配置之前，需要先進行路由器的基本配置，如設備命名、接口配置等，同時需要配置PCI、PC2的IP地址、默認網(wǎng)關等參數(shù)。接下來在H3C-R1上配置基本ACL，在E0/1接口上應用ACL，并在H3C-R1上開啟包過濾防火墻功能。

2.測試ACL配置正確性

在PC1上使用Ping命令：C：＼>ping 192.168.3，2，結果所有數(shù)據(jù)包全部丟失。更改PC1上的IP地址信息為192.168.1.3，子網(wǎng)掩碼為24。使用Ping命令訪問PC2的IP地址192.168.3.2，結果沒有數(shù)據(jù)丟失。經(jīng)過兩次連通性的測試，可以看到當PC1使用的IP地址信息是192.168.1.2時不能訪問到PC2，表示在H3C-R1的E0/0上設置的包過濾防火墻生效，阻止了數(shù)據(jù)包通過，當更改PC1的IP地址信息為192.168.1.3時，在H3C-R1上的ACL允許通過，則PC1能夠訪問到 PC2。

也可用display acl number命令在H3C-R1上查看IPv4 ACL的配置和運行情況，用display firewall-statistics all命令在在H3C-R1上查看IPv4防火墻的過濾報文統(tǒng)計信息。

四、小結

本文用特定案例對配置提出要求，根據(jù)ACL的原理分析配置方法，用具體的配置命令給出實現(xiàn)拓撲圖要求的配置方法，并采用常用命令查看結果，驗證了配置的正確性。

參考文獻

[1]沈向余.H3C路由交換機配置實驗指南[J].西安通信學院，2014，12

[2]沈向余.H3C路由交換機配置技術[J].西安通信學院，2014，7

[3]周海軍，畢發(fā)社，鄒順.網(wǎng)絡協(xié)議原理[J].西安通信學院，2008，6