博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
【基础】华为设备基本和高级ACL配置实战
阅读量:5962 次
发布时间:2019-06-19

本文共 3839 字,大约阅读时间需要 12 分钟。

实验拓扑:

使用ENSP模拟器(版本V100R002C00 1.2.00.350

 

实验要求:

1.在华为设备上配置标准ACL实现vlan 10主机不能和vlan20主机互访,但可以正常上网。

2. 在华为设备上配置扩展ACL实现vlan 10主机不能和vlan 20主机互访,但可以正常上网;vlan 10中C2需要和vlan 20中C3通信,vlan 10中C1不能打开网页,其他不受影响;

3. 在华为设备上配置命名ACL实现路由器R1只能被192.168.1.10主机远程管理。

ACL原理:

1.ACL从上至下逐条匹配,一旦匹配成功则不再向下匹配。

2.ACL最后隐含了一条拒绝所有的规则。

3.路由器的一个接口一个方向最多只可以应用一个ACL,但是可以有N条条目。

 

实验步骤及验证:

1.接口及ip地址规划:

C1:192.168.1.10 (vlan 10)

C2:192.168.1.20 (vlan 10)

C3:192.168.2.10 (vlan 20)

C4:192.168.2.20 (vlan 20)

Server:13.0.0.2

R1

g0/0/1.10:192.168.1.1

g0/0/1.20:192.168.2.1

g0/0/2:12.0.0.2

R2:

g0/0/2:12.0.0.1

g0/0/0:13.0.0.1

2.配置脚本

SW1

[SW1]vlan batch 10 20(添加vlan 10 20)

[SW1]int e0/0/1

[SW1-Ethernet0/0/1]port hybrid pvid vlan 10

[SW1-Ethernet0/0/1]port hybrid untagged vlan 10(将接口以untagged方式加入vlan 10)

[SW1]int e0/0/2

[SW1-Ethernet0/0/2]porthybrid pvid vlan 10

[SW1-Ethernet0/0/2]port hybrid untagged vlan 10

[SW1]int e0/0/3

[SW1-Ethernet0/0/3]port link-type access

[SW1-Ethernet0/0/3]port default vlan 20(将接口以access方式加入vlan 20)

[SW1]int e0/0/4

[SW1-Ethernet0/0/4]port link-type access

[SW1-Ethernet0/0/4]port default vlan 20

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20(将接口以tagged方式允许带有vlan 10 20标记的帧通过)

R1

[R1]int g0/0/1.10

[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10指定子接口封装的vlan

[R1-GigabitEthernet0/0/1.10]ip add 192.168.1.1 24

[R1-GigabitEthernet0/0/1.10]arp broadcast enable(开启子接口的arp广播)

[R1]int g0/0/1.20

[R1-GigabitEthernet0/0/1.20]dot1qtermination vid 20

[R1-GigabitEthernet0/0/1.20]ip add 192.168.2.1 24

[R1-GigabitEthernet0/0/1.20]arp broadcast enable

[R1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 12.0.0.2 24

R2

[R2]int g0/0/2

[R2-GigabitEthernet0/0/2]ip add 12.0.0.1 24

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 13.0.0.1 24

-------------------------以上是IP地址及vlan配置----------------------------

R1

[R1]ip route-static 13.0.0.0 255.255.255.0 12.0.0.1

R2

[R2]ip route-static192.168.1.0 255.255.255.0 12.0.0.2

[R2]ip route-static 192.168.2.0 255.255.255.0 12.0.0.2

---------------------------以上是路由配置----------------------------------

没做任何ACL情况下,C1可以与vlan 20主机及Server通信

标准ACL

R1

[R1]acl 2000定义一个标准ACL2000

[R1-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255第一条语句拒绝源为192.168.1.0/24网段的所有流量

[R1-acl-basic-2000]rule 10 permit source any需要注意ACL是从上至下逐条匹配的所以需在第一条拒绝语句后跟一条允许所有的以保证其他流量通过

[R1]int g0/0/1.20因只需要限制vlan1020的主机不能互访所以将ACL应用在vlan 20网关的out方向从而不影响上行上网的流量

[R1-GigabitEthernet0/0/1.20]traffic-filteroutbound acl 2000(在接口的out方向应用ACL

 

结果验证:

可以看到C1仍然可以访问Server,但无法和vlan20主机通信,标准ACL生效。

扩展ACL

在没有ACL情况下C 1是可以访问ServerFTPWWW服务的。

R1

[R1]acl 3000定义一个扩展ACL3000

[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.20 0.0.0.0 destination192.168.2.10 0.0.0.0允许以C2为源C3为目标的流量

[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination192.168.2.0 0.0.0.255注意此条语句位置拒绝所有vlan 10为源vlan 20为目标的流量

[R1-acl-adv-3000]rule 15 deny tcp source 192.168.1.10 0.0.0.0 destination13.0.0.2 0.0.0.0 destination-port eq 80拒绝C1为源访问目标为ServerTCP 80端口

[R1-acl-adv-3000]rule 20 permit ip source any最后允许所有未匹配的流量

[R1]int g0/0/1.10

[R1-GigabitEthernet0/0/1.10]traffic-filter inboundacl 3000(在vlan 10网关的in方向调用ACL)

实验验证:

C2上与C3通信但是无法与vlan 20其他主机通信,且可以访问Server可正常上网。

C1上不能访问ServerWWW服务,但仍然可以访问FTP服务,所以扩展ACL生效。

命名ACL

R1

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-modepassword

Please configure the login password (maximum length16):abc

默认情况下任何可以与R1通信的设备都可以telnetR1

R1

[R1]acl name novty 2001

[R1-acl-basic-2001]rule 5 permit source 192.168.1.100.0.0.0允许源为C1的流量

[R1]user-interface vty 04

[R1-ui-vty0-4]acl 2001inbound  VTY端口的in方向应用ACL)

实验验证:

只有C1可以telnetR1,其他都无法telnet,命名ACL生效。

实验总结:

1.ACL可以理解为一个包过滤防火墙,可以基于管理员配置的条目控制流量,还可以通过time-rang命令定义一个时间范围,在列表后面调用这个时间范围来实现灵活的网络控制。

2.ACL也可以被用来定义感兴趣地址或网段范围,以用于其他应用(如NAT)。

3.ACL也是QoS中流分类的必备工具。

本文转自Y.weisheng 51CTO博客,原文链接:http://blog.51cto.com/yuan2/1583305,如需转载请自行联系原作者

你可能感兴趣的文章
php正则怎么使用(最全最细致)
查看>>
课后作业03-验证课件上的代码,并将所有的动手动脑或要求发表博客作业部分整理成一篇博客...
查看>>
html 学习
查看>>
tomcat如何利用waf进行防护
查看>>
2017最新教程--如何下载美拍视频
查看>>
Hadoop 学习总结之三:Map-Reduce入门(转载)
查看>>
node 搭建开发框架express
查看>>
loadrunner-2-8HTML和URL模式
查看>>
RabbitMQ封装实战
查看>>
SQL Server VALUES 使用一记住
查看>>
原码、反码、补码、移码
查看>>
js禁止网页使用右键
查看>>
javascript数学运算符
查看>>
eclipse安装Run-Jetty-Run插件,修改实时生效
查看>>
UIGestureRecognizer
查看>>
NSDate 时间
查看>>
敏捷开发方法综述
查看>>
天。鬼。法
查看>>
linux tcp中time_wait
查看>>
shuff打乱排序
查看>>