路由与交换系列高级IP ACL特性与配置实验二

简介: • 掌握高级 IP ACL的原理• 掌握ACL在企业网络中的应用• 掌握高级IP ACL的配置方式• 掌握高级IP ACL的验证效果

高级IP ACL特性与配置实验2


2.1【实验目的】

• 掌握高级 IP ACL的原理

• 掌握ACL在企业网络中的应用

• 掌握高级IP ACL的配置方式

• 掌握高级IP ACL的验证效果



2.2【实验环境】

华为ENSP模拟器

实验拓扑图如下图所示。




2.3【实验过程实验结果


1.地址配置

IP地址规划表

设备名称

设备接口

IP

网关

所属VLAN

Server1

E0/0/0

10.20.10.100/24

10.20.10.1/24

VLAN10

PC1

E0/0/2

10.20.20.20/24

10.20.20.1/24

VLAN20

PC2

E0/0/3

10.20.30.30/24

10.20.30.1/24

VLAN30

AR1



G0/0/1.20

10.20.20.1/24








VLAN20

G0/0/0

172.16.20.1/30


G0/0/1.30

10.20.30.1/24

VLAN30

AR2


G0/0/0

172.16.20.2/30


G0/0/1

10.20.60.1/24


LSW2


E0/0/1

10.20.60.2/24

VLAN 1

E0/0/2

10.20.10.1/24

VLAN10





2.IP编址与基本配置

给所有路由器配置IP地址信息。

AR1

[AR1]int g0/0/1.20
[AR1-GigabitEthernet0/0/1.20]dot1q termination vid 20
[AR1-GigabitEthernet0/0/1.20]ip add 10.20.20.1 24
[AR1-GigabitEthernet0/0/1.20]arp broadcast enable
[AR1-GigabitEthernet0/0/1.20]q
[AR1]int g0/0/1.30
[AR1-GigabitEthernet0/0/1.30]dot1q termination vid 30
[AR1-GigabitEthernet0/0/1.30]ip add 10.20.30.1 24
[AR1-GigabitEthernet0/0/1.30]arp broadcast enable
[AR1-GigabitEthernet0/0/1.30]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 172.16.20.1 30
[AR1-GigabitEthernet0/0/0]q



AR2

[AR2]int G0/0/0
[AR2-GigabitEthernet0/0/0]ip address 172.16.20.2 30
[AR2-GigabitEthernet0/0/0]int G0/0/1
[AR2-GigabitEthernet0/0/1]ip address 10.20.60.1 24
[AR2-GigabitEthernet0/0/1]q





3.LSW1LSW2中配置VLAN

LSW1




LSW2

[LSW2]vlan 10
[LSW2-vlan10]description Jack20-Local_VLAN10
[LSW2-vlan10]q
[LSW2]int vlan 10
[LSW2-Vlanif10]ip add 10.20.10.1 24
[LSW2-Vlanif10]int vlan 1
[LSW2-Vlanif1]ip add 10.20.60.2 24
[LSW2-Vlanif1]q
[LSW2]
[LSW2]int e 0/0/1
[LSW2-Ethernet0/0/1]port link-type trunk
[LSW2-Ethernet0/0/1]port trunk allow-pass vlan all
[LSW2-Ethernet0/0/1]int e 0/0/2
[LSW2-Ethernet0/0/2]port link-type access
[LSW2-Ethernet0/0/2]port default vlan 10
[LSW2-Ethernet0/0/2]q



配置完成后,观察LSW2的VLAN表


从以上输出可以看到,创建的两个VLAN的端口绑定,Access和Trunk情况,以及给不同VLAN划分时的命名情况


4.在设备中添加OSPF配置

AR1

[AR1]ospf
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]net 10.20.0.0 0.0.255.255
[AR1-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.3
[AR1-ospf-1-area-0.0.0.0]q
[AR1-ospf-1]q




AR2

[AR2]ospf
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]net 10.20.0.0 0.0.255.255
[AR2-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]q
[AR2-ospf-1]q



LSW2

[LSW2]ospf
[LSW2-ospf-1]area 0
[LSW2-ospf-1-area-0.0.0.0]net 10.20.0.0 0.0.255.255
[LSW2-ospf-1-area-0.0.0.0]q
[LSW2-ospf-1]q




配置完成后,观察各设备的路由表,分别查看:交换机LSW2;路由器AR1

(1) AR1

(2) LSW2





5.AR1中配置高级IP ACL

在这个企业网环境中,管理员需要通过高级IP ACL实现: VLAN10中服务器只能由VLAN30中的主机进行访问,于是决定在AR1的接口上实施相应的过滤行为,并创建一个高级IP ACL



AR1

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny ip source 10.20.20.0 0.0.0.255 destination 10.20.10.0 0.0.0.255
[AR1-acl-adv-3000]q
[AR1]
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
[AR1-GigabitEthernet0/0/1]q




配置完成后,验证通讯情况和过滤情况

(1)VLAN20中的PC1访问VLAN10中服务器

从以上输出可以看出,PC1访问服务器时,直接在AR1处(网关)就被过滤了


(2)VLAN30中的PC1访问VLAN10中服务器

2.4【实验总结

高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。

ACL 的工作原理:

使用ACL在匹配数据包的过程中,会按照 rule 的号码从小到大依次匹配。

如果能匹配成功,则后续的条目不再进行检查;

如果匹配不成功,则继续匹配下面的 rule ;

如果所有的 rule 都没有匹配成功,则执行ACL最后一个隐含的条目

如果 acl 和 traffic-filter 结合使用,acl最后隐含的条目是:允许所有

如果 acl 和 其他工具结合在一起使用,acl 最后隐含的条目是:拒绝所有

目录
相关文章
|
4月前
|
网络安全 数据安全/隐私保护 网络架构
|
7月前
|
监控 网络协议 网络架构
|
网络架构
动态路由实验
动态路由实验
57 0
|
数据安全/隐私保护 网络架构
基础和高级的ACL的基础配置和原理
基础和高级的ACL的基础配置和原理
103 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理2
基础和高级的ACL的基础配置和原理2
68 0
|
安全 物联网 网络虚拟化
路由与交换系列之基本IP ACL特性与配置
• 掌握基本IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握基本IP ACL的配置方式 • 掌握基本IP ACL的验证效果
4325 8
  路由与交换系列之基本IP ACL特性与配置
|
网络协议 网络虚拟化 数据安全/隐私保护
华为—DHCP(中继)、路由引入,ACL综合实验
华为—DHCP(中继)、路由引入,ACL综合实验
352 1
华为—DHCP(中继)、路由引入,ACL综合实验
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
343 1
|
网络协议 网络虚拟化 数据安全/隐私保护
路由与交换系列之NAPT特性与配置实践
• 掌握NAPT的原理 • 掌握NAPT在企业网络中的应用 • 掌握NAPT的配置方式
2949 1
路由与交换系列之NAPT特性与配置实践