S5700的ACL访问控制列表及实验

最新推荐文章于 2024-08-19 18:32:10 发布
最新推荐文章于 2024-08-19 18:32:10 发布
阅读量1.2w 收藏 33
点赞数 2
分类专栏: HuaWei 文章标签: ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012402276/article/details/50159027
版权

五、访问控制列表

<2000-2999>标准访问控制列表

<3000-3999>扩展访问控制列表

<4000-4999>指定一个L2的acl群组

<5000-5999>用户自定义访问控制列表

 

ACL的五大要素:源地址、源端口、目标地址、目标端口、协议

如果简单说来就是:源地址访问目的地址的什么协议的什么端口

思路:应用需要用什么协议,需要用什么端口--------确定IP地址

 

1.标准访问控制列表

Forexample1:

rule 0 deny source 192.168.16.2 0

#这条的意思是:访问规则0,拒绝源网段192.168.16.0的访问,而子网掩码为0就相当于255.255.255.255也就是32,为完全匹配的意思,就是说单单只拒绝这个一IP地址的访问

先搭建一个前期的可访问的路由的环境:

R1:

[router]interface GigabitEthernet 0/0/0

[router-GigabitEthernet0/0/0]ip address192.168.10.2 255.255.255.0

[router]ip route-static 192.168.1.0255.255.255.0 192.168.10.1

[router]ip route-static192.168.2.0 255.255.255.0 192.168.10.1

建议配置回程路由的时候加上出接口,然后在加上下一跳的地址。

三层交换switch:

#

 sysname switch

#

 vlan 2

 vlan 3

 quit

#

 interface vlan 1  

 ip address 192.168.10.1 24

 quit

#  

 interface vlan 2  

 ip address 192.168.1.1 255.255.255.0

 quit

#  

 interface vlan 3  

 ip address 192.168.2.1 255.255.255.0

 quit

#

 port-group 1  

 description hr

 group-member GigabitEthernet 0/0/1GigabitEthernet 0/0/2

 port link-type access

 port default vlan 2

 quit

#

 port-group 2  

 description sh

 group-member GigabitEthernet 0/0/3GigabitEthernet 0/0/4  

 port link-type access

 port default vlan 3

 quit

#

 interface GigabitEthernet 0/0/24

 port-like trunk

 port trunk allow-pass vlan 1 2 3

 quit

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.10.2

同时来看下vlan的情况:

###########################################

通过实验证明:

在vlan1里面的诸多端口中,任意一个端口下接pc:

如果pc机的Ip在192.168.10.x网段,并且网关指向192.168.10.1,那么它是可以ping到192.168.10.2可以进外网路由。

如果pc机的Ip在任意其他网段都是不可访问到外网路由的192.168.10.2端口的。

所以这里,如果要使其他端口可以访问外网路由,要么将之添加到现有的可访问外网路由的vlan2或者vlan3,要么就新建其他的vlan并在三层交换的GE 0/0/24端口下重新允许新建的vlan数据通过。

标准acl:

inbound调用

[switch]acl 2000

[switch-acl-basic-2000]rule 5 deny source192.168.2.2 0

[switch]traffic-filter inbound acl 2000

(这这一步的实验中得出结论,阻止了来自源地址192.168.2.2的任何访问流量,自身2.0网段互访也不可以实现。)

如果将acl进行更改为:

[switch-acl-basic-2000]rule 5 deny source192.168.2.0 0.0.0.255

(这样表示拒绝来自192.168.2.0网段的所有流量,那么这时候2.0网段不仅不可以访问其他网段,而且连自身网段2.0内部互访都不可以。)

(对于上面的这种标准acl在inbound下调用和在outbound调用效果一样)

接口下调用

如果在三层交换的接口GE 0/0/1接口下同时调用inbound和outbound的acl 2000,如下

[switch-acl-basic-2000]rule 5 deny source192.168.2.0 0.0.0.255

[switch]interface GigabitEthernet 0/0/1

[switch-GigabitEthernet0/0/1]traffic-filterinbound acl 2000

[switch-GigabitEthernet0/0/1]traffic-filteroutbound acl 2000

[switch-GigabitEthernet0/0/1]restart   #重新启动端口才能生效

这样192.168.1.3无论是在进方向还是出方向上都无法访问2.0网段,同时2.0网段的数据流量也进不来。

###################################

通过实验其实可以看出,标准访问控制列表有局限性,它只能够单纯的阻止或者允许源地址访问,而无法具体定义,从而没有可扩展性,所以一般是不怎么使用标准访问控制列表的。

 

2.扩展访问控制列表

a.Forexample1:

acl 3000

rule 11 deny ip source 192.168.11.00.0.0.255 destination 192.168.12.0 0.0.0.255

#这条的意思是:访问规则11,拒绝源网段192.168.11.0访问192.168.12.0网段

b.Forexample2:

如果在扩展访问控制列表的Forexample1中,要使得其中一个192.168.11.6的IP访问192.168.12.99,因为原来是禁止的,如果要重建acl 3000又会很麻烦,怎么办呢?有一个简单的方法就是在这条语句的前面加上一条permit的单条语句,因为rule的匹配规则为从上往下匹配,所以如果放在第一条线匹配到,就可以既能让192.168.11.6访问成功,又能继续阻止其他的访问。

即:

rule 10 permit ip source192.168.11.6 0 destination 192.168.12.99 0

rule 11 deny ip source 192.168.11.0 0.0.0.255 destination 192.168.12.0 0.0.0.255

(所以在建立rule列表的时候,建议rule号码前面留有空余的号码,比如rule 11,如果有问题可以在前面添加rule 10)

c. 重新应用至接口.在应用过程中注意一点
traffic behavior 上permit与deny的区别.:
使用permit表示按照acl 3000的规则来进行数据放行,3001中允许那就允许,禁止那就禁止,但是若使用deny,则无论3000规则中的permit或者deny,一律全都丢弃不进行转发。

建立vlan并分别加入vlan:

[switch]vlan2

[switch-vlan2]vlan 3

[switch-vlan3]quit 

[switch]interface vlan 2   

[switch-Vlanif2]ip address192.168.1.1 255.255.255.0

[switch-Vlanif2]quit   

[switch]interface vlan 3   

[switch-Vlanif3]ip address 192.168.2.1255.255.255.0

[switch-Vlanif3]quit

[switch]port-group 1   #这里使用了端口群组的加入方式

[switch-port-group-1]description hr

[switch-port-group-1]group-memberGigabitEthernet 0/0/1 GigabitEthernet 0/0/2

[switch-port-group-1]port link-type access

[switch-port-group-1]port default vlan 2

[switch]port-group 2   

[switch-port-group-2]description sh

[switch-port-group-2]group-memberGigabitEthernet 0/0/3 GigabitEthernet 0/0/4

[switch-port-group-2]port link-type access

[switch-port-group-2]port default vlan 3

[switch]interface vlan 1   

[switch-Vlanif1]ip address 192.168.10.1 24

当配置好了以后其它们的vlan间是可以互通的,这是默认的,不同于思科的设备得配置vlan间路由才可以使vlan间互通。如果需要让vlan间不互通,通过配置acl就可以实现。

 

配置acl访问控制策略:

(目前192.168.2.2/24和192.1680.1.2/24是可以互通的,现在要使他们不能互通,但是可以访问192.168.10.2/24)

[switch]acl 3000

[switch-acl-adv-3000]rule1 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

#因为系统默认是permit所有,所以这个acl 3000里面只用有一条deny的语句就可以实现了。

[switch]traffic-filter inbound acl 3000  #这里是在流量过滤下调用访问控制列表3000

而下面的这条策略则可以实现禁PING的功能,因为ping命令是属于icmp的协议。

[switch-acl-adv-3000]rule 5 deny icmpsource 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255


Ivan_fay
关注
专栏目录
华为S5700系列交换机使用高级ACL限制不同网段的用户互访
a226433955的博客
11-20 5194
组网图形 图1使用高级ACL限制不同网段的用户互访示例 组网需求 如图一所示,某公司通过Switch实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之中。现要求Switch能够限制两个网段之间互访,防止公司机密泄露。 配置思路 采用如下的思路在Switch上进行配置: 1....
华为ACL访问控制列表实验
朝锡相处
10-31 1万+
拓扑1台S5700,一台S3700,4台PC,ACL实验
不同VLAN和不同网段互相访问-华为s5700
10-17
不同VLAN和不同网段互相访问,主机能够互相ping通-华为s5700 3700 用华为ensp模拟器模拟
十九、访问控制列表
陈达杰的博客
03-18 361
想了想,还是将两者一起写,便于进行对比。 访问控制列表ACL) 企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。 简单而言,就是控制哪些...
ACL访问控制列表
最新发布
ZZZCY2003的博客
08-19 244
访问控制列表是一种基于规则的网络安全机制,用于控制对网络资源的访问。ACL可以应用于路由器、交换机、防火墙等网络设备上,以决定哪些数据包可以进入或离开网络。
华为如何通过ACL访问控制列表限制上网
swebin的专栏
10-10 2万+
登 录到路由器 telnet 192.168.1.1 输入用户名,密码 acl number 3000 (如果不存在,创建访问列表;存在则添加一条限制) 允许192.168.1.99上网: rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0 说明:192.168.1.99
华为s5700acl设置
都是曾经而已
08-09 3947
服务器区域网段为192.168.10.0/24,办公区域网段为222.31.102.0/24 网管地址为:222.31.102.99-101/24              #访问所有服务 开发部门访问地址为:222.31.102.150/24 #访问特定服务     Acl设置测试: 禁止222.31.102.99/24 访问192.168.10.200/24,其他全部放行  
华为s5700怎么做vlan间禁止访问?
kepa520的博客
03-07 1万+
1、用的华为S5700-24TP-SI,划了3个vlan,分别为vlan 2、vlan 3、vlan 4,对应的IP段为: vlan 2:192.168.2.0/255.255.255.0 vlan 3:192.168.3.0/255.255.255.0 vlan 4:192.186.4.0/255.255.255.0 2、怎么限制vlan2不可以访问vlan 3、vlan4; vlan3不可
华为配置IPSG限制非法主机访问内网
liudongliang125的专栏
11-21 441
匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。dhcp snooping只能根据dhcp ack报文的信息提取用户IP mac等信息并添加到动态绑定表中,而只有已经在dhcp snooping记录表中存在的相应记录的数据包才能通过IPSG检测,开启dhcp snooping和IPSG之前已经下发的IP地址信息,并没有被记录在动态绑定表中,所以无法通过IPSG检测。
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 3594
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL里面匹配网段的规则原来是这样,终于理解了
NeverGUM的博客
10-14 1万+
一直对ACL和OSPF里面匹配网段的掩码有点模糊,OSPF使用反掩码,ACL则使用通配符掩码,看样子一样,其实略有点区别。 先来看看度娘对通配符掩码的定义。 通配符掩码(wildcard-mask) 通配符掩码(wildcard-mask)路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。这个地址掩码可以只使用两个32位的号码来确定IP地址的范围。这是
华为s5700vlan划分和acl配置命令.docx
09-11
ACL(Access Control List)即访问控制列表,用于定义一组规则来过滤数据包。在华为S5700交换机上配置ACL,可以控制特定IP地址或子网的数据流,增强网络安全。 **配置命令示例:** ``` acl number 3001 rule 5 ...
ACL和QoS配置指导
09-30
本文档围绕**ACL(Access Control List访问控制列表)**与**QoS(Quality of Service服务质量)**两大主题展开深入探讨。 #### 二、ACL基础知识 ##### 2.1 定义 访问控制列表(ACL)是一组规则集合,用于定义哪些...
访问控制列表ACL
墨_衍的博客
03-14 2623
文章目录一、ACL二、实验配置1.配置需求:2.配置步骤:3.配置命令 一、ACL 1、ACL的作用: 1)匹配数据包,实现数据包的控制(过滤或放行) 2、组成: 1)规则:即匹配数据包的各种条件; 2)动作:permit 和 deny ; 3、基本ACL 1)表示方式:ID,取值控制为:2000~2999 2)仅仅能匹配数据包的源IP地址,匹配数据包不精确 3)建议:在调用时,尽量调用在距离目标设备近的地方; 4、高级ACL 1)表示方式:ID,取值控制为:3000~3999 2)可以同时匹配数据包的源
基于Vlan的策略路由
_Dong的博客
11-13 1599
实验目标: pc1 访问资源将数据重定向到SW3,pc2访问公网资源走sw2,并且保证pc1和pc2 之间访问不受影响 搭建网络环境: LSW1 vlan batch 10 20 30 40 100 200 interface Vlanif10 ip address 172.30.0.1 255.255.255.0 interface Vlanif20 ip address 172.16.0.1 255.255.255.0 interface Vlanif30 ip address 30.0..
新华三路由器常见命令
我本善良编程专栏
09-30 3159
新华三路由器命令通用命令VLAN路由ACL 控制 通用命令 兼职网管一二三 VLAN 设置策略 路由 1)policy策略 policy-based-route route-wifi permit node 1 if-match acl 3030 apply next-hop 110.149.222.1 --固定IP方式,填写固定IP的网管 apply output-interface dialer10 --固定PPP拨号接口名 ACL 控制 1)创建 ...
HCIA 第八天
weixin_45800779的博客
11-20 328
ACL的概念。 1、ACL:Access Control List,访问控制列表。 作用: 1、实现访问控制 2、抓取感兴趣流量供其他技术调用 工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上, 让路由器对收到的流量基于表中规则执行动作–允许、拒绝 3、 ACL匹配规则: 至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条 ...
华三IPsec
qq_47529104的博客
06-19 1686
华三ipsec
访问控制列表——ACL
热门推荐
sunboy_guo的博客
05-17 3万+
1.ACL简介 当需要针对数据流量或者报文进行一些过滤的时候,需要一个抓取要过滤的工具。类似于过滤石灰粉和石子的过程,那么我们是需要一个滤网或者其他的过滤工具来进行筛选。经过筛选获取到的石子,是丢弃还是用作其他用途,并不是过滤工具来决定的,它是取决于调用工具的时候,来判断,是否需要这些石子,或者丢弃。 ACL访问控制列表)就提供了类似于滤网的功能,它可以精准匹配到想要抓取的报文或者流量,然后在不同的场景下,去应用ACL的功能。 2.ACL的组成 AC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值