配置基本的访问控制列表ACL【eNSP实现】

访问控制列表ACL（Access Control List）是由permit或deny语句组成的一系列有顺序的规则集合，这些规则根据数据报的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类，路由设备根据这些规则判断哪些数据包可以通过，哪些数据包需要拒绝

基本ACL可使用报文的源IP地址、时间段信息来定义规则，编号范围为2000~2999

一个ACL可以由多条"deny/permit"语句组成，每一条语句描述一条规则，每条规则则有一个Rule-ID。Rule-ID可以由用户进行配置，也可以由系统自动根据步长生成，默认步长为5，Rule-ID默认按照配置先后顺序分配0，5，10，15等，匹配按照Rule-ID的顺序，从小到大进行匹配

实验目的

• 理解基本访问控制列表的应用场景
• 掌握配置基本访问控制列表的方法

实验拓扑

实验步骤

1. 根据图示进行基础配置，路由器编号即为其主机号

   R1:
   <Huawei>sys
   [Huawei]undo info-center en
   [Huawei]sysname R1
   [R1]int g0/0/0
   [R1-GigabitEthernet0/0/0]ip address 10.0.13.1 24
   [R1-GigabitEthernet0/0/0]int LoopBack 0
   [R1-LoopBack0]ip address 1.1.1.1 32
       
   R2:
   <Huawei>sys	
   [Huawei]undo info-center en
   [Huawei]sysname R2
   [R2]int g0/0/0
   [R2-GigabitEthernet0/0/0]ip address 10.0.23.2 24
   [R2-GigabitEthernet0/0/0]int LoopBack 0
   [R2-LoopBack0]ip address 2.2.2.2 32
       
   R3:
   <Huawei>sys
   [Huawei]undo info-center en
   [Huawei]sysname R3
   [R3]int g0/0/0
   [R3-GigabitEthernet0/0/0]ip address 10.0.13.3 24
   [R3-GigabitEthernet0/0/0]int g0/0/1
   [R3-GigabitEthernet0/0/1]ip address 10.0.23.3 24
   [R3-GigabitEthernet0/0/1]int g0/0/2
   [R3-GigabitEthernet0/0/2]ip address 10.0.34.3 24
   [R3-GigabitEthernet0/0/2]int LoopBack 0
   [R3-LoopBack0]ip address 3.3.3.3 32    
       
   R4:
   <Huawei>sys
   [Huawei]undo info-center en
   [Huawei]sysname R4
   [R4]int g0/0/0
   [R4-GigabitEthernet0/0/0]ip address 10.0.34.4 24
   [R4-GigabitEthernet0/0/0]int LoopBack 0
   [R4-LoopBack0]ip address 4.4.4.4 32    
   
   

2. 开启OSPF，通告各网段，设置环回接口模拟连接在路由器上的PC

   R1:
   [R1]ospf
   [R1-ospf-1]area 0
   [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
   [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
       
   R2:
   [R2]ospf
   [R2-ospf-1]area 0
   [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
   [R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
       
   R3:
   [R3]ospf
   [R3-ospf-1]area 0
   [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
   [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
   [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
   [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
       
   R4:
   [R4]ospf
   [R4-ospf-1]area 0
   [R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
   [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
   

   查看路由表，确保OSPF协议已发挥作用

3. 在R4上配置telnet相关配置，配置用户密码为huawei

   R4:
   [R4]user-interface vty 0 4	//进入虚拟终端，最多允许5人进入[0~4号]
   [R4-ui-vty0-4]authentication-mode password	//设置口令为密码模式
   [R4-ui-vty0-4]set authentication password simple huawei	//密码设置为明文huawei
   

   此时任何与R4互通的三层设备都可以通过输入密码的形式操控R4，这样显然是不安全的

4. 基本的ACL可以针对数据包的源IP地址进行过滤，其范围是2000~2999，我们利用其设立规则，禁止除R1外的设备进行远程连接

   R4:
   [R4]acl 2000	//创建一个编号型ACL
   [R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0	//ID5规则：接收1.1.1.1的信息	
   [R4-acl-basic-2000]rule 10 deny source any //ID10规则：拒绝所有信息
   //由于匹配规则是从低匹到高，因此两条规则一起作用后就是拒绝处1.1.1.1外的信息    
   [R4]user-interface vty 0 4	//进入R4的VTY
   [R4-ui-vty0-4]acl 2000 inbound  //将编号2000的ACL运用在数据入方向  
   

   此时R2想要远程连接R4会失败

   而R1依旧可以连接R4，到此便完成了一个简单ACL配置，可使用命令display acl all查看设备上所有的访问控制列表

本实验取自华为公司《HCNA网络技术实验指南》，此书对于新手学习计算机网络协议以及熟悉eNSP操作十分友好，强烈推荐！！！