路由与交换系列高级IP ACL特性与配置实验

简介: • 掌握高级 IP ACL的原理• 掌握ACL在企业网络中的应用• 掌握高级IP ACL的配置方式• 掌握高级IP ACL的验证效果

高级IP ACL特性与配置实验


1.1【实验目的】

• 掌握高级 IP ACL的原理

• 掌握ACL在企业网络中的应用

• 掌握高级IP ACL的配置方式

• 掌握高级IP ACL的验证效果


1.2【实验环境】

华为ENSP模拟器

实验拓扑图如下图所示。



1.3【实验过程实验结果


1.地址配置

IP地址规划表

设备名称

设备接口

IP

网关

所属VLAN

STP服务器

E0/0/1

192.168.20.100/24

192.168.20.1/24




私有服务器

E0/0/2

192.168.20.200/24

PC1

E0/0/1

10.20.30.10/24

10.20.30.1/24

VLAN30

PC2

E0/0/1

10.20.60.10/24

10.20.60.1/24

VLAN60

PC3

E0/0/2

10.20.60.20/24

10.20.60.1/24

VLAN60

Client 1

E0/0/2

10.20.30.30/24

10.20.30.1/24

VLAN30

Client 2

E0/0/3

10.20.60.30/24

10.20.60.1/24

VLAN60

AR1



G0/0/2

172.16.20.1/24














G0/0/0

10.20.80.2/24


G0/0/1

10.20.100.2/24


AR2


G0/0/0

172.16.20.2/24


G0/0/1

192.168.20.1/24


LSW1



E0/0/1

10.20.30.1/24


VLAN30


E0/0/2

E0/0/5

10.20.80.1/24

VLAN 1

LSW2




E0/0/1

10.20.60.1/24



VLAN60



E0/0/2

E0/0/3

E0/0/5

10.20.100.1/24

VLAN 1



2.IP编址与基本配置

给所有路由器配置IP地址信息。


AR1

[AR1]int G0/0/0

[AR1-GigabitEthernet0/0/0]ip address 10.20.80.2 24

[AR1-GigabitEthernet0/0/0]int G0/0/1

[AR1-GigabitEthernet0/0/1]ip address 10.20.100.2 24

[AR1-GigabitEthernet0/0/1]int G0/0/2

[AR1-GigabitEthernet0/0/2]ip address 172.16.20.1 24

[AR1-GigabitEthernet0/0/2]q


AR2

[AR2]int G0/0/0

[AR2-GigabitEthernet0/0/0]ip address 172.16.20.2 24

[AR2-GigabitEthernet0/0/0]int G0/0/1

[AR2-GigabitEthernet0/0/1]ip address 192.168.20.1 24

[AR2-GigabitEthernet0/0/1]q




3.LSW1LSW2中配置VLAN

LSW1

[LSW1]vlan 30

[LSW1-vlan30]description Jack20-Local_VLAN30

[LSW1-vlan30]q

[LSW1]

[LSW1]int vlan 30

[LSW1-Vlanif30]ip add 10.20.30.1 24

[LSW1-Vlanif30]int vlan 1

[LSW1-Vlanif1]ip add 10.20.80.1 24

[LSW1-Vlanif1]int e0/0/1

[LSW1-Ethernet0/0/1]port link-type access

[LSW1-Ethernet0/0/1]port default vlan 30

[LSW1-Ethernet0/0/1]int e0/0/2

[LSW1-Ethernet0/0/2]port link-type access

[LSW1-Ethernet0/0/2]port default vlan 30

[LSW1-Ethernet0/0/2]int e0/0/5

[LSW1-Ethernet0/0/5]port link-type trunk

[LSW1-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW1-Ethernet0/0/5]q



LSW2

[LSW2]vlan 60

[LSW2-vlan60]description Jack20-Local_VLAN60

[LSW2-vlan60]q

[LSW2]

[LSW2]int vlan 60

[LSW2-Vlanif60]ip add 10.20.60.1 24

[LSW2-Vlanif60]int vlan 1

[LSW2-Vlanif1]ip add 10.20.100.1 24

[LSW2-Vlanif1]int e0/0/1

[LSW2-Ethernet0/0/1]port link-type access

[LSW2-Ethernet0/0/1]port default vlan 60

[LSW2-Ethernet0/0/1]int e0/0/2

[LSW2-Ethernet0/0/2]port link-type access

[LSW2-Ethernet0/0/2]port default vlan 60

[LSW2-Ethernet0/0/2]int e0/0/3

[LSW2-Ethernet0/0/3]port link-type access

[LSW2-Ethernet0/0/3]port default vlan 60

[LSW2-Ethernet0/0/3]int e0/0/5

[LSW2-Ethernet0/0/5]port link-type trunk

[LSW2-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW2-Ethernet0/0/5]q


配置完成后,观察各设备的VLAN表

LSW2

从以上输出可以看到,创建的两个VLAN的端口绑定,Access和Trunk情况,以及给不同VLAN划分时的命名情况



4.在设备中添加OSPF配置

LSW1

[LSW1]ospf

[LSW1-ospf-1]area 0

[LSW1-ospf-1-area-0.0.0.0]net 10.20.30.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]q

[LSW1-ospf-1]q




LSW2

[LSW2]ospf

[LSW2-ospf-1]area 0

[LSW2-ospf-1-area-0.0.0.0]net 10.20.60.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]q

[LSW2-ospf-1]q



AR1

[AR1]ospf

[AR1-ospf-1]area 0

[AR1-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]q

[AR1-ospf-1]q



AR2

[AR2]ospf

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]net 192.168.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]q

[AR2-ospf-1]q



配置完成后,观察各设备的路由表,分别查看:交换机LSW1、LSW2;路由器AR1、AR2

(1) LSW1

(2) LSW2


(3) AR1

(4) AR2

5.AR1中配置高级IP ACL

在AR1中配置两条高级IP ACL一条使得VLAN 60中的所有TCP传输设备不能访问私有服务器,只有VLAN60可以访问;另一条使得VLAN 30中的所有TCP传输设备不能访问SFTP服务器,只有VLAN60可以访问


AR1

[AR1]acl 3000

[AR1-acl-adv-3000]rule deny tcp source 10.20.30.0 0.0.0.255 destination 192.168.20.100 0 destination-port eq 21

[AR1-acl-adv-3000]rule deny tcp source 10.20.60.0 0.0.0.255 destination 192.168.20.200 0

[AR1-acl-adv-3000]rule permit ip

[AR1-acl-adv-3000]q

[AR1]

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/1]q



配置完成后,验证通讯情况

(1) 使用client1登录SFTP服务器&私有服务器

登录私有服务器


从以上两次连接可以看出VLAN 30中的所有TCP传输设备不能访问SFTP服务器,只能访问私有服务器


(2) 使用client2登录SFTP服务器&私有服务器

登录SFTP服务器

登录私有服务器


从以上两次连接可以看出VLAN 60中的所有TCP传输设备不能访问SFTP服务器,只能访问私有服务器


(3) 测试PC机与服务器间通讯

从以上两个不同VLAN主机的连接测试中可以看出可以成功的访问远端的两台服务器,因为其传输是通过ICMP报文的形式,所以不会受到两条高级IP ACL的影响,至此说明两条高级IP ACL配置正确。



目录
相关文章
|
6月前
|
监控 网络协议 网络架构
|
6月前
|
网络协议 测试技术 数据安全/隐私保护
ensp中高级acl (控制列表) 原理和配置命令 (详解)
ensp中高级acl (控制列表) 原理和配置命令 (详解)
314 0
|
6月前
|
算法 网络协议 网络架构
【网络层】动态路由算法、自治系统AS、IP数据报格式
【网络层】动态路由算法、自治系统AS、IP数据报格式
63 0
|
网络协议 数据库 数据安全/隐私保护
路由控制概述
为了保证网络的高效运行以及在路由重分布的时候避免次优路由或者路由环路,有必要 对路由更新进行控制,常用的方法有被动接口、默认路由、静态路由、路由映射表、分布列 表、前缀列表、偏移列表、Cisco IOS IP服务等级协议(SLA)和策略路由。在进行路径控制 时,可能是多种方法的组合。
266 0
路由控制概述
|
数据安全/隐私保护 网络架构
基础和高级的ACL的基础配置和原理
基础和高级的ACL的基础配置和原理
94 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理2
基础和高级的ACL的基础配置和原理2
64 0
|
安全 物联网 网络虚拟化
路由与交换系列之基本IP ACL特性与配置
• 掌握基本IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握基本IP ACL的配置方式 • 掌握基本IP ACL的验证效果
4309 8
  路由与交换系列之基本IP ACL特性与配置
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验二
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
234 1
|
网络协议 网络虚拟化 数据安全/隐私保护
路由与交换系列之NAPT特性与配置实践
• 掌握NAPT的原理 • 掌握NAPT在企业网络中的应用 • 掌握NAPT的配置方式
2907 1
路由与交换系列之NAPT特性与配置实践
|
网络协议 网络虚拟化 网络架构
路由与交换系列之企业级ipv6和AAA通讯实验(上)
1.企业级IPV6和AAA通讯 2.实验目标:客户端能访问服务器:不同VLAN的PC能相互访问 3.要求:除服务器server和客户端client外全部部署IPV6地址及协议
3681 2
路由与交换系列之企业级ipv6和AAA通讯实验(上)