基础和高级的ACL的基础配置和原理
拓扑图
需求
如图配置设备的IP地址
售后服务部只能通过web的方式访问 server1
售后服务部可以访问行政部的所有设备的所有服务
售后服务部不可以访问其他的任何网段的任何服务
配置思路
配置IP地址和路由,确保全网互通
基于项目需求,确定使用的ACL的类型 - 高级ACL
基于ACL的特点,确定配置高级ACL的设备 - 靠近源设备特别近的地方
创建高级ACL
调用高级ACL
验证与测试
配置命令
基础配置
Client1: 192.168.1.1255.255.255.0192.168.1.254PC1: 192.168.2.1255.255.255.0192.168.2.254Server1: 192.168.3.1255.255.255.0192.168.3.254开启HTTP服务: 服务器配置->http服务->配置“文件目录”->启动。R1: undoterminalmonitorsystem-viewsysnameR1interfacegi0/0/0ipaddress192.168.12.124quitinterfacegi0/0/2ipaddress192.168.1.25424quitiproute-static0.0.0.00192.168.12.2R2: undoterminalmonitorsystem-viewsysnameR2interfacegi0/0/0ipaddress192.168.12.224quitinterfacegi0/0/2ipaddress192.168.23.224quitinterfacegi0/0/1ipaddress192.168.2.25424quitiproute-static192.168.1.024192.168.12.1iproute-static192.168.3.024192.168.23.3R3: undoterminalmonitorsystem-viewsysnameR3interfacegi0/0/0ipaddress192.168.23.324quitinterfacegi0/0/2ipaddress192.168.3.25424quitiproute-static0.0.0.00192.168.23.2
高级ACL配置
R1: acl3000rule10permittcpsource192.168.1.10.0.0.0destination192.168.3.10.0.0.0destination-porteq80rule20permitipsource192.168.1.10.0.0.0destination192.168.2.00.0.0.255rule30denyipsource1921.68.1.10.0.0.0destinationanyquitinterfacegi0/0/2traffic-filterinboundacl3000quit
验证
ACL前验证
client 可以ping 可以https访问server1
ACL后验证
client 只可以通过https 访问sever1
需求变化
售后服务部只能 ping 通 Server1,但是不能访问该设备的其他服务内容
配置
仅仅是将之前的高级ACL3000变化一下,就可以:acl3000undorule10rule10permiticmpsource192.168.1.10.0.0.0destination192.168.3.10.0.0.0quit测试:client1ping192.168.3.1,可以通;client1通过httpclient访问192.168.3.1,无法获得网页。
验证
1.需求更新
- 允许R2和R3被远程访问,密码是HCIE
- 仅仅允许 192.168.1.254 远程登陆 R2
- 拒绝R1的任何IP地址远程登陆R3
2. 配置
R2:user-interfacevty04authentication-modepassword**************************:HCIEquitacl2000rule10permitsource192.168.1.2540.0.0.0quituser-interfacevty04acl2000inbound---------------------------------------------------------------------------R3: acl2000rule10denysource192.168.12.10.0.0.0rule20denysource192.168.1.2540.0.0.0rule30permitsourceanyquituser-interfacevty04authentication-modepassword*****************************:HCIEacl2000inboundquit
验证
测试:
R1:
telnet -a 192.168.1.254 192.168.12.2 ,成功登录;其他的IP地址不可以远程登陆。
总结
通过以上的实验过程,我们明白了以下几点:
1.默认情况下,R1远程发送的数据包的源IP地址是:数据包的出端口的IP地址;
数据包的出端口,是由“R1查找路由表”决定的,即 Gi0/0/0。
所以默认情况下,R1发送的数据包的源IP地址是 192.168.12.1
2.如果想要修改 R1 发送的 telnet 的数据包的源IP地址,可以通过下面的命令:
telnet -a {源IP地址} {目标IP地址}
3.在远程登录一个设备的时候,目标IP地址可以是被登录的这个设备上的任意的一个可以互通的IP地址。
4.默认情况下,网络设备不支持“空认证”的远程登录,所以必须得设置认证方式以及认证密码
5.通过ACL控制设备的远程登陆时,可以直接在虚拟接口 vty 下面直接配置。
并且此时 ACL 最后隐含的默认的规则是:拒绝所有。
【记住:在华为设备上,只有当 acl 和 traffic-filter 结合使用时,默认规则才是允许所有】
