现在位置: 首页 / H3CNE / 正文

高级ACL实验

实验拓扑

image-20231227111923271

实验需求

  1. 按照图示搭建拓扑,并且配置IP地址

  2. 使用ospf协议来达到全网互通

  3. 在RTD上开启FTP服务

  4. 在RTA上配置高级ACL来禁止RTC到网络192.168.2.0/24网段的FTP数据流

  5. 测试效果:RTC与RTD可以互通,RTC未连接到RTD

实验解析

1、配置IP地址

步骤1:配置RTA的IP地址

[RTA]interface GigabitEthernet 0/0
[RTA-GigabitEthernet0/0]ip address 192.168.1.2 24
[RTA-GigabitEthernet0/0]interface GigabitEthernet 0/1
[RTA-GigabitEthernet0/1]ip address  192.168.0.1 24

步骤2:配置RTB的IP地址

[RTB]interface GigabitEthernet 0/0
[RTB-GigabitEthernet0/0]ip address 192.168.2.2 24
[RTB-GigabitEthernet0/0]interface GigabitEthernet 0/1
[RTB-GigabitEthernet0/1]ip address 192.168.0.2 24

步骤3:配置RTC的IP地址

[RTC]interface GigabitEthernet 0/0
[RTC-GigabitEthernet0/0]ip address 192.168.1.1 24

步骤4:配置RTD的IP地址

[RTD]interface GigabitEthernet 0/0
[RTD-GigabitEthernet0/0]ip address 192.168.2.1 24

2、使用ospf协议来达到全网互通

步骤1:在RTA上配置OSPF

[RTA]ospf
[RTA-ospf-1]area 0
[RTA-ospf-1-area-0.0.0.0]network 192.168.0.1 0.0.0.0
[RTA-ospf-1-area-0.0.0.0]area 1
[RTA-ospf-1-area-0.0.0.1]network 192.168.1.2 0.0.0.0

步骤2:在RTB上配置OSPF

[RTB]ospf
[RTB-ospf-1]area 0
[RTB-ospf-1-area-0.0.0.0]network 192.168.0.2 0.0.0.0
[RTB-ospf-1-area-0.0.0.0]area 2
[RTB-ospf-1-area-0.0.0.2]network 192.168.2.2 0.0.0.0

步骤3:在RTC上配置OSPF

[RTC]ospf
[RTC-ospf-1]area 1
[RTC-ospf-1-area-0.0.0.1]network 192.168.1.1 0.0.0.0

步骤4:在RTD上配置OSPF

[RTD]ospf
[RTD-ospf-1]area 2
[RTD-ospf-1-area-0.0.0.2]network 192.168.2.1 0.0.0.0

3、在RTD上开启FTP服务

步骤1:开启FTP

[RTD]ftp server enable

步骤2:设置用户登录的数量

[RTD]line vty 0 63

步骤3:设置登录的验证方式以用户名密码登录

[RTD-line-vty0-63]authentication-mode scheme

步骤4:添加本地用户

[RTD]local-user yige class manage

步骤5:设置服务类型

[RTD-luser-manage-yige]service-type ftp

步骤6:创建密码

[RTD-luser-manage-yige]password simple qwer123456

步骤7:赋予权限

[RTD-luser-manage-yige]authorization-attribute user-role network-admin

测试:在RTC使用FTP连接到RTD

<RTC>ftp 192.168.2.1
Press CTRL+C to abort.
Connected to 192.168.2.1 (192.168.2.1).
220 FTP service ready.
User (192.168.2.1:(none)): yige
331 Password required for yige.
Password: 
230 User logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

4、在RTA上配置高级ACL来禁止RTC到网络192.168.2.0/24网段的FTP数据流

步骤1:在RTA上配置高级ACL

[RTA]acl advanced 3000
[RTA-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq ftp
[RTA-acl-ipv4-adv-3000]rule permit ip source 192.168.1.1 0 destination 192.168.2.1 0

步骤2:在RTA的g0/0接口调用ACL

[RTA]interface GigabitEthernet 0/0
[RTA-GigabitEthernet0/0]packet-filter 3000 inbound

5、测试效果:RTC与RTD可以互通,RTC未连接到RTD

步骤1:在RTC上通过ping命令检查与RTD的互通性,结果是可以互通的

<RTC>ping 192.168.2.1
Ping 192.168.2.1 (192.168.2.1): 56 data bytes, press CTRL+C to break
56 bytes from 192.168.2.1: icmp_seq=0 ttl=253 time=1.898 ms
56 bytes from 192.168.2.1: icmp_seq=1 ttl=253 time=1.982 ms
56 bytes from 192.168.2.1: icmp_seq=2 ttl=253 time=0.745 ms
56 bytes from 192.168.2.1: icmp_seq=3 ttl=253 time=1.482 ms
56 bytes from 192.168.2.1: icmp_seq=4 ttl=253 time=0.725 ms

步骤2:在RTC上使用FTP连接RTD,结果应该是未连接

<RTC>ftp 192.168.2.1
Press CTRL+C to abort.