天天看點
傳回

【基礎】華為裝置基本和進階ACL配置實戰

實驗拓撲:

使用ENSP模拟器(版本V100R002C00 1.2.00.350)

<a href="http://s3.51cto.com/wyfs02/M00/54/10/wKiom1R20SSjSVbHAAGM1uetVJo444.jpg" target="_blank"></a>

實驗要求:

1.在華為裝置上配置标準ACL實作vlan 10主機不能和vlan20主機互訪,但可以正常上網。

2. 在華為裝置上配置擴充ACL實作vlan 10主機不能和vlan 20主機互訪,但可以正常上網;vlan 10中C2需要和vlan 20中C3通信,vlan 10中C1不能打開網頁,其他不受影響;

3. 在華為裝置上配置命名ACL實作路由器R1隻能被192.168.1.10主機遠端管理。

ACL原理:

1.ACL是從上至下逐條比對,一旦比對成功則不再向下比對。

2.ACL最後隐含了一條拒絕所有的規則。

3.路由器的一個接口一個方向最多隻可以應用一個ACL,但是可以有N條條目。

實驗步驟及驗證:

1.接口及ip位址規劃:

C1:192.168.1.10 (vlan 10)

C2:192.168.1.20 (vlan 10)

C3:192.168.2.10 (vlan 20)

C4:192.168.2.20 (vlan 20)

Server:13.0.0.2

R1:

g0/0/1.10:192.168.1.1

g0/0/1.20:192.168.2.1

g0/0/2:12.0.0.2

R2:

g0/0/2:12.0.0.1

g0/0/0:13.0.0.1

2.配置腳本:

SW1

[SW1]vlan batch 10 20(添加vlan 10 20)

[SW1]int e0/0/1

[SW1-Ethernet0/0/1]port hybrid pvid vlan 10

[SW1-Ethernet0/0/1]port hybrid untagged vlan 10(将接口以untagged方式加入vlan 10)

[SW1]int e0/0/2

[SW1-Ethernet0/0/2]porthybrid pvid vlan 10

[SW1-Ethernet0/0/2]port hybrid untagged vlan 10

[SW1]int e0/0/3

[SW1-Ethernet0/0/3]port link-type access

[SW1-Ethernet0/0/3]port default vlan 20(将接口以access方式加入vlan 20)

[SW1]int e0/0/4

[SW1-Ethernet0/0/4]port link-type access

[SW1-Ethernet0/0/4]port default vlan 20

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20(将接口以tagged方式允許帶有vlan 10 20标記的幀通過)

R1

[R1]int g0/0/1.10

[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10(指定子接口封裝的vlan)

[R1-GigabitEthernet0/0/1.10]ip add 192.168.1.1 24

[R1-GigabitEthernet0/0/1.10]arp broadcast enable(開啟子接口的arp廣播)

[R1]int g0/0/1.20

[R1-GigabitEthernet0/0/1.20]dot1qtermination vid 20

[R1-GigabitEthernet0/0/1.20]ip add 192.168.2.1 24

[R1-GigabitEthernet0/0/1.20]arp broadcast enable

[R1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 12.0.0.2 24

R2

[R2]int g0/0/2

[R2-GigabitEthernet0/0/2]ip add 12.0.0.1 24

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 13.0.0.1 24

-------------------------以上是IP位址及vlan配置----------------------------

[R1]ip route-static 13.0.0.0 255.255.255.0 12.0.0.1

[R2]ip route-static192.168.1.0 255.255.255.0 12.0.0.2

[R2]ip route-static 192.168.2.0 255.255.255.0 12.0.0.2

---------------------------以上是路由配置----------------------------------

<a href="http://s3.51cto.com/wyfs02/M01/54/10/wKiom1R20TbyG3s1AAERQKKWEAg616.jpg" target="_blank"></a>

沒做任何ACL情況下,C1可以與vlan 20主機及Server通信

标準ACL:

[R1]acl 2000(定義一個标準ACL2000)

[R1-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255(第一條語句拒絕源為192.168.1.0/24網段的所有流量)

[R1-acl-basic-2000]rule 10 permit source any(需要注意ACL是從上至下逐條比對的,是以需在第一條拒絕語句後跟一條允許所有的以保證其他流量通過)

[R1]int g0/0/1.20(因隻需要限制vlan10和20的主機不能互訪,是以将ACL應用在vlan 20網關的out方向進而不影響上行上網的流量)

[R1-GigabitEthernet0/0/1.20]traffic-filteroutbound acl 2000(在接口的out方向應用ACL)

結果驗證:

<a href="http://s3.51cto.com/wyfs02/M02/54/10/wKiom1R20UOyuPhhAAFml_8q_0k838.jpg" target="_blank"></a>

可以看到C1仍然可以通路Server,但無法和vlan20主機通信,标準ACL生效。

擴充ACL:

<a href="http://s3.51cto.com/wyfs02/M00/54/10/wKiom1R20VbQsXXkAAD1tw1GzuU097.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M01/54/0F/wKioL1R20dnRYlWmAAD4esLANOU179.jpg" target="_blank"></a>

在沒有ACL情況下C 1是可以通路Server的FTP和WWW服務的。

[R1]acl 3000(定義一個擴充ACL3000)

[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.20 0.0.0.0 destination192.168.2.10 0.0.0.0(允許以C2為源C3為目标的流量)

[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination192.168.2.0 0.0.0.255(注意此條語句位置!拒絕所有vlan 10為源vlan 20為目标的流量)

[R1-acl-adv-3000]rule 15 deny tcp source 192.168.1.10 0.0.0.0 destination13.0.0.2 0.0.0.0 destination-port eq 80(拒絕C1為源通路目标為Server的TCP 80端口)

[R1-acl-adv-3000]rule 20 permit ip source any(最後允許所有未比對的流量)

[R1-GigabitEthernet0/0/1.10]traffic-filter inboundacl 3000(在vlan 10網關的in方向調用ACL)

實驗驗證:

<a href="http://s3.51cto.com/wyfs02/M02/54/10/wKiom1R20YCh_HaRAAISYhfqfUU172.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M00/54/0F/wKioL1R20gORR7kmAACUNs4O-rU695.jpg" target="_blank"></a>

在C2上與C3通信但是無法與vlan 20其他主機通信,且可以通路Server可正常上網。

<a href="http://s3.51cto.com/wyfs02/M02/54/0F/wKioL1R20huDmkrHAAF__i_pDes406.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M02/54/10/wKiom1R20ZmRpGSRAAFiTsskuv4069.jpg" target="_blank"></a>

在C1上不能通路Server的WWW服務,但仍然可以通路FTP服務,是以擴充ACL生效。

命名ACL:

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-modepassword

Please configure the login password (maximum length16):abc

<a href="http://s3.51cto.com/wyfs02/M00/54/10/wKiom1R20bny9xqjAAE5lMWoHTk803.jpg" target="_blank"></a>

預設情況下任何可以與R1通信的裝置都可以telnet到R1。

[R1]acl name novty 2001

[R1-acl-basic-2001]rule 5 permit source 192.168.1.100.0.0.0(允許源為C1的流量)

[R1]user-interface vty 04

[R1-ui-vty0-4]acl 2001inbound  (在VTY端口的in方向應用ACL)

<a href="http://s3.51cto.com/wyfs02/M01/54/10/wKiom1R20pGz00k9AABaa4uyyjU286.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M02/54/0F/wKioL1R20xSSvwzdAABSTTYJaa4503.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M02/54/10/wKiom1R20pLCf2-QAAAmS_n8seI606.jpg" target="_blank"></a>

隻有C1可以telnet到R1,其他都無法telnet,命名ACL生效。

實驗總結:

1.ACL可以了解為一個包過濾防火牆,可以基于管理者配置的條目控制流量,還可以通過time-rang指令定義一個時間範圍,在清單後面調用這個時間範圍來實作靈活的網絡控制。

2.ACL也可以被用來定義感興趣位址或網段範圍,以用于其他應用(如NAT)。

3.ACL也是QoS中流分類的必備工具。

本文轉自Y.weisheng 51CTO部落格,原文連結:http://blog.51cto.com/yuan2/1583305,如需轉載請自行聯系原作者

網絡協定 網絡虛拟化 網絡帶寬 網絡 靜态網絡 聊天網絡 網絡帶寬問題
上一篇: windows常用安全工具 清單
下一篇: jQuery中文亂碼完美解決方案

繼續閱讀