【基础】华为设备基本和高级ACL配置实战

简介:

实验拓扑:

使用ENSP模拟器(版本V100R002C00 1.2.00.350

 

wKiom1R20SSjSVbHAAGM1uetVJo444.jpg

实验要求:

1.在华为设备上配置标准ACL实现vlan 10主机不能和vlan20主机互访,但可以正常上网。

2. 在华为设备上配置扩展ACL实现vlan 10主机不能和vlan 20主机互访,但可以正常上网;vlan 10中C2需要和vlan 20中C3通信,vlan 10中C1不能打开网页,其他不受影响;

3. 在华为设备上配置命名ACL实现路由器R1只能被192.168.1.10主机远程管理。

ACL原理:

1.ACL从上至下逐条匹配,一旦匹配成功则不再向下匹配。

2.ACL最后隐含了一条拒绝所有的规则。

3.路由器的一个接口一个方向最多只可以应用一个ACL,但是可以有N条条目。

 

实验步骤及验证:

1.接口及ip地址规划:

C1:192.168.1.10 (vlan 10)

C2:192.168.1.20 (vlan 10)

C3:192.168.2.10 (vlan 20)

C4:192.168.2.20 (vlan 20)

Server:13.0.0.2

R1

g0/0/1.10:192.168.1.1

g0/0/1.20:192.168.2.1

g0/0/2:12.0.0.2

R2:

g0/0/2:12.0.0.1

g0/0/0:13.0.0.1

2.配置脚本

SW1

[SW1]vlan batch 10 20(添加vlan 10 20)

[SW1]int e0/0/1

[SW1-Ethernet0/0/1]port hybrid pvid vlan 10

[SW1-Ethernet0/0/1]port hybrid untagged vlan 10(将接口以untagged方式加入vlan 10)

[SW1]int e0/0/2

[SW1-Ethernet0/0/2]porthybrid pvid vlan 10

[SW1-Ethernet0/0/2]port hybrid untagged vlan 10

[SW1]int e0/0/3

[SW1-Ethernet0/0/3]port link-type access

[SW1-Ethernet0/0/3]port default vlan 20(将接口以access方式加入vlan 20)

[SW1]int e0/0/4

[SW1-Ethernet0/0/4]port link-type access

[SW1-Ethernet0/0/4]port default vlan 20

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20(将接口以tagged方式允许带有vlan 10 20标记的帧通过)

R1

[R1]int g0/0/1.10

[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10指定子接口封装的vlan

[R1-GigabitEthernet0/0/1.10]ip add 192.168.1.1 24

[R1-GigabitEthernet0/0/1.10]arp broadcast enable(开启子接口的arp广播)

[R1]int g0/0/1.20

[R1-GigabitEthernet0/0/1.20]dot1qtermination vid 20

[R1-GigabitEthernet0/0/1.20]ip add 192.168.2.1 24

[R1-GigabitEthernet0/0/1.20]arp broadcast enable

[R1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 12.0.0.2 24

R2

[R2]int g0/0/2

[R2-GigabitEthernet0/0/2]ip add 12.0.0.1 24

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 13.0.0.1 24

-------------------------以上是IP地址及vlan配置----------------------------

R1

[R1]ip route-static 13.0.0.0 255.255.255.0 12.0.0.1

R2

[R2]ip route-static192.168.1.0 255.255.255.0 12.0.0.2

[R2]ip route-static 192.168.2.0 255.255.255.0 12.0.0.2

---------------------------以上是路由配置----------------------------------

wKiom1R20TbyG3s1AAERQKKWEAg616.jpg

没做任何ACL情况下,C1可以与vlan 20主机及Server通信

标准ACL

R1

[R1]acl 2000定义一个标准ACL2000

[R1-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255第一条语句拒绝源为192.168.1.0/24网段的所有流量

[R1-acl-basic-2000]rule 10 permit source any需要注意ACL是从上至下逐条匹配的所以需在第一条拒绝语句后跟一条允许所有的以保证其他流量通过

[R1]int g0/0/1.20因只需要限制vlan1020的主机不能互访所以将ACL应用在vlan 20网关的out方向从而不影响上行上网的流量

[R1-GigabitEthernet0/0/1.20]traffic-filteroutbound acl 2000(在接口的out方向应用ACL

 

结果验证:

wKiom1R20UOyuPhhAAFml_8q_0k838.jpg

可以看到C1仍然可以访问Server,但无法和vlan20主机通信,标准ACL生效。

扩展ACL

wKiom1R20VbQsXXkAAD1tw1GzuU097.jpg

wKioL1R20dnRYlWmAAD4esLANOU179.jpg

在没有ACL情况下C 1是可以访问ServerFTPWWW服务的。

R1

[R1]acl 3000定义一个扩展ACL3000

[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.20 0.0.0.0 destination192.168.2.10 0.0.0.0允许以C2为源C3为目标的流量

[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination192.168.2.0 0.0.0.255注意此条语句位置拒绝所有vlan 10为源vlan 20为目标的流量

[R1-acl-adv-3000]rule 15 deny tcp source 192.168.1.10 0.0.0.0 destination13.0.0.2 0.0.0.0 destination-port eq 80拒绝C1为源访问目标为ServerTCP 80端口

[R1-acl-adv-3000]rule 20 permit ip source any最后允许所有未匹配的流量

[R1]int g0/0/1.10

[R1-GigabitEthernet0/0/1.10]traffic-filter inboundacl 3000(在vlan 10网关的in方向调用ACL)

实验验证:

wKiom1R20YCh_HaRAAISYhfqfUU172.jpg

wKioL1R20gORR7kmAACUNs4O-rU695.jpg

C2上与C3通信但是无法与vlan 20其他主机通信,且可以访问Server可正常上网。

wKioL1R20huDmkrHAAF__i_pDes406.jpg

wKiom1R20ZmRpGSRAAFiTsskuv4069.jpg

C1上不能访问ServerWWW服务,但仍然可以访问FTP服务,所以扩展ACL生效。

命名ACL

R1

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-modepassword

Please configure the login password (maximum length16):abc

wKiom1R20bny9xqjAAE5lMWoHTk803.jpg

默认情况下任何可以与R1通信的设备都可以telnetR1

R1

[R1]acl name novty 2001

[R1-acl-basic-2001]rule 5 permit source 192.168.1.100.0.0.0允许源为C1的流量

[R1]user-interface vty 04

[R1-ui-vty0-4]acl 2001inbound  VTY端口的in方向应用ACL)

实验验证:

wKiom1R20pGz00k9AABaa4uyyjU286.jpg

wKioL1R20xSSvwzdAABSTTYJaa4503.jpg

wKiom1R20pLCf2-QAAAmS_n8seI606.jpg

只有C1可以telnetR1,其他都无法telnet,命名ACL生效。

实验总结:

1.ACL可以理解为一个包过滤防火墙,可以基于管理员配置的条目控制流量,还可以通过time-rang命令定义一个时间范围,在列表后面调用这个时间范围来实现灵活的网络控制。

2.ACL也可以被用来定义感兴趣地址或网段范围,以用于其他应用(如NAT)。

3.ACL也是QoS中流分类的必备工具。



本文转自Y.weisheng 51CTO博客,原文链接:http://blog.51cto.com/yuan2/1583305,如需转载请自行联系原作者

相关文章
|
7月前
|
Linux 网络虚拟化 虚拟化
Linux虚拟网络设备深度解析:使用场景、分类与开发者指南
Linux虚拟网络设备支撑着各种复杂的网络需求和配置,从基础的网络桥接到高级的网络隔离和加密🔐。以下是对主要Linux虚拟网络设备的介绍、它们的作用以及适用场景的概览,同时提出了一种合理的分类,并指出应用开发人员应该着重掌握的设备。
Linux虚拟网络设备深度解析:使用场景、分类与开发者指南
|
7月前
|
运维 网络协议 安全
【专栏】30个必备的思科设备巡检命令,涵盖设备基本信息、性能、网络连接、安全及其它重要方面
【4月更文挑战第28天】本文列举了30个必备的思科设备巡检命令,涵盖设备基本信息、性能、网络连接、安全及其它重要方面。这些命令包括`show version`、`show running-config`、`show ip route`、`show access-lists`等,对监控设备状态、排查故障及优化性能至关重要。熟悉并运用这些命令能提升网络工程师的工作效率,确保网络稳定运行。不断学习新命令以适应网络技术发展是网络工程师的必修课。
678 1
|
7月前
|
Linux SDN 网络虚拟化
Linux虚拟网络设备全景解析:定义、工作模式与实践应用
在深入探索Linux操作系统的强大功能时,我们不可避免地会遇到虚拟网络设备的概念。这些设备扮演着构建和维护虚拟化环境中网络通信的关键角色。本文旨在详细介绍Linux虚拟网络设备的定义、工作模式以及它们的多样化用途。
Linux虚拟网络设备全景解析:定义、工作模式与实践应用
|
数据安全/隐私保护 网络架构
基础和高级的ACL的基础配置和原理
基础和高级的ACL的基础配置和原理
104 0
|
数据安全/隐私保护
基础和高级的ACL的基础配置和原理2
基础和高级的ACL的基础配置和原理2
68 0
EMQ
|
网络协议 安全 物联网
物联网多协议、多场景自定义测试|XMeter Cloud 更新
XMeter Cloud本次更新将满足自定义测试场景和测试更广泛协议的需求,实现对TCP、WebSocket、HTTP等网络协议的测试,帮助用户构建更复杂的测试场景。
EMQ
185 0
|
开发者 Docker 容器
自定义网络|学习笔记
快速学习自定义网络
自定义网络|学习笔记
|
缓存 中间件 测试技术
【.NET Core项目实战-统一认证平台】第六章 网关篇-自定义客户端授权
原文:【.NET Core项目实战-统一认证平台】第六章 网关篇-自定义客户端授权 【.NET Core项目实战-统一认证平台】开篇及目录索引 上篇文章我们介绍了网关使用Redis进行缓存,并介绍了如何进行缓存实现,缓存信息清理接口的使用。
1472 0