路由与交换系列高级IP ACL特性与配置实验

简介: • 掌握高级 IP ACL的原理• 掌握ACL在企业网络中的应用• 掌握高级IP ACL的配置方式• 掌握高级IP ACL的验证效果

高级IP ACL特性与配置实验


1.1【实验目的】

• 掌握高级 IP ACL的原理

• 掌握ACL在企业网络中的应用

• 掌握高级IP ACL的配置方式

• 掌握高级IP ACL的验证效果


1.2【实验环境】

华为ENSP模拟器

实验拓扑图如下图所示。



1.3【实验过程实验结果


1.地址配置

IP地址规划表

设备名称

设备接口

IP

网关

所属VLAN

STP服务器

E0/0/1

192.168.20.100/24

192.168.20.1/24




私有服务器

E0/0/2

192.168.20.200/24

PC1

E0/0/1

10.20.30.10/24

10.20.30.1/24

VLAN30

PC2

E0/0/1

10.20.60.10/24

10.20.60.1/24

VLAN60

PC3

E0/0/2

10.20.60.20/24

10.20.60.1/24

VLAN60

Client 1

E0/0/2

10.20.30.30/24

10.20.30.1/24

VLAN30

Client 2

E0/0/3

10.20.60.30/24

10.20.60.1/24

VLAN60

AR1



G0/0/2

172.16.20.1/24














G0/0/0

10.20.80.2/24


G0/0/1

10.20.100.2/24


AR2


G0/0/0

172.16.20.2/24


G0/0/1

192.168.20.1/24


LSW1



E0/0/1

10.20.30.1/24


VLAN30


E0/0/2

E0/0/5

10.20.80.1/24

VLAN 1

LSW2




E0/0/1

10.20.60.1/24



VLAN60



E0/0/2

E0/0/3

E0/0/5

10.20.100.1/24

VLAN 1



2.IP编址与基本配置

给所有路由器配置IP地址信息。


AR1

[AR1]int G0/0/0

[AR1-GigabitEthernet0/0/0]ip address 10.20.80.2 24

[AR1-GigabitEthernet0/0/0]int G0/0/1

[AR1-GigabitEthernet0/0/1]ip address 10.20.100.2 24

[AR1-GigabitEthernet0/0/1]int G0/0/2

[AR1-GigabitEthernet0/0/2]ip address 172.16.20.1 24

[AR1-GigabitEthernet0/0/2]q


AR2

[AR2]int G0/0/0

[AR2-GigabitEthernet0/0/0]ip address 172.16.20.2 24

[AR2-GigabitEthernet0/0/0]int G0/0/1

[AR2-GigabitEthernet0/0/1]ip address 192.168.20.1 24

[AR2-GigabitEthernet0/0/1]q




3.LSW1LSW2中配置VLAN

LSW1

[LSW1]vlan 30

[LSW1-vlan30]description Jack20-Local_VLAN30

[LSW1-vlan30]q

[LSW1]

[LSW1]int vlan 30

[LSW1-Vlanif30]ip add 10.20.30.1 24

[LSW1-Vlanif30]int vlan 1

[LSW1-Vlanif1]ip add 10.20.80.1 24

[LSW1-Vlanif1]int e0/0/1

[LSW1-Ethernet0/0/1]port link-type access

[LSW1-Ethernet0/0/1]port default vlan 30

[LSW1-Ethernet0/0/1]int e0/0/2

[LSW1-Ethernet0/0/2]port link-type access

[LSW1-Ethernet0/0/2]port default vlan 30

[LSW1-Ethernet0/0/2]int e0/0/5

[LSW1-Ethernet0/0/5]port link-type trunk

[LSW1-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW1-Ethernet0/0/5]q



LSW2

[LSW2]vlan 60

[LSW2-vlan60]description Jack20-Local_VLAN60

[LSW2-vlan60]q

[LSW2]

[LSW2]int vlan 60

[LSW2-Vlanif60]ip add 10.20.60.1 24

[LSW2-Vlanif60]int vlan 1

[LSW2-Vlanif1]ip add 10.20.100.1 24

[LSW2-Vlanif1]int e0/0/1

[LSW2-Ethernet0/0/1]port link-type access

[LSW2-Ethernet0/0/1]port default vlan 60

[LSW2-Ethernet0/0/1]int e0/0/2

[LSW2-Ethernet0/0/2]port link-type access

[LSW2-Ethernet0/0/2]port default vlan 60

[LSW2-Ethernet0/0/2]int e0/0/3

[LSW2-Ethernet0/0/3]port link-type access

[LSW2-Ethernet0/0/3]port default vlan 60

[LSW2-Ethernet0/0/3]int e0/0/5

[LSW2-Ethernet0/0/5]port link-type trunk

[LSW2-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW2-Ethernet0/0/5]q


配置完成后,观察各设备的VLAN表

LSW2

从以上输出可以看到,创建的两个VLAN的端口绑定,Access和Trunk情况,以及给不同VLAN划分时的命名情况



4.在设备中添加OSPF配置

LSW1

[LSW1]ospf

[LSW1-ospf-1]area 0

[LSW1-ospf-1-area-0.0.0.0]net 10.20.30.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]q

[LSW1-ospf-1]q




LSW2

[LSW2]ospf

[LSW2-ospf-1]area 0

[LSW2-ospf-1-area-0.0.0.0]net 10.20.60.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]q

[LSW2-ospf-1]q



AR1

[AR1]ospf

[AR1-ospf-1]area 0

[AR1-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]q

[AR1-ospf-1]q



AR2

[AR2]ospf

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]net 192.168.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]q

[AR2-ospf-1]q



配置完成后,观察各设备的路由表,分别查看:交换机LSW1、LSW2;路由器AR1、AR2

(1) LSW1

(2) LSW2


(3) AR1

(4) AR2

5.AR1中配置高级IP ACL

在AR1中配置两条高级IP ACL一条使得VLAN 60中的所有TCP传输设备不能访问私有服务器,只有VLAN60可以访问;另一条使得VLAN 30中的所有TCP传输设备不能访问SFTP服务器,只有VLAN60可以访问


AR1

[AR1]acl 3000

[AR1-acl-adv-3000]rule deny tcp source 10.20.30.0 0.0.0.255 destination 192.168.20.100 0 destination-port eq 21

[AR1-acl-adv-3000]rule deny tcp source 10.20.60.0 0.0.0.255 destination 192.168.20.200 0

[AR1-acl-adv-3000]rule permit ip

[AR1-acl-adv-3000]q

[AR1]

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/1]q



配置完成后,验证通讯情况

(1) 使用client1登录SFTP服务器&私有服务器

登录私有服务器


从以上两次连接可以看出VLAN 30中的所有TCP传输设备不能访问SFTP服务器,只能访问私有服务器


(2) 使用client2登录SFTP服务器&私有服务器

登录SFTP服务器

登录私有服务器


从以上两次连接可以看出VLAN 60中的所有TCP传输设备不能访问SFTP服务器,只能访问私有服务器


(3) 测试PC机与服务器间通讯

从以上两个不同VLAN主机的连接测试中可以看出可以成功的访问远端的两台服务器,因为其传输是通过ICMP报文的形式,所以不会受到两条高级IP ACL的影响,至此说明两条高级IP ACL配置正确。



目录
相关文章
|
4月前
|
网络安全 数据安全/隐私保护 网络架构
ACL原理与配置
ACL原理与配置
|
7月前
|
监控 网络协议 网络架构
|
网络架构
动态路由实验
动态路由实验
57 0
|
数据安全/隐私保护 网络架构
基础和高级的ACL的基础配置和原理
基础和高级的ACL的基础配置和原理
103 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理2
基础和高级的ACL的基础配置和原理2
68 0
|
安全 物联网 网络虚拟化
路由与交换系列之基本IP ACL特性与配置
• 掌握基本IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握基本IP ACL的配置方式 • 掌握基本IP ACL的验证效果
4325 8
  路由与交换系列之基本IP ACL特性与配置
|
网络协议 网络虚拟化 数据安全/隐私保护
华为—DHCP(中继)、路由引入,ACL综合实验
华为—DHCP(中继)、路由引入,ACL综合实验
352 1
华为—DHCP(中继)、路由引入,ACL综合实验
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验二
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
246 1
|
网络协议 网络虚拟化 数据安全/隐私保护
路由与交换系列之NAPT特性与配置实践
• 掌握NAPT的原理 • 掌握NAPT在企业网络中的应用 • 掌握NAPT的配置方式
2949 1
路由与交换系列之NAPT特性与配置实践