eNSP实验:基本ACL的原理和配置方法

于 2024-06-20 11:14:01 发布
阅读量738 收藏 7
点赞数 27
文章标签: 网络 智能路由器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79997551/article/details/139825943
版权

ACL(Access Control List,访问控制列表)是由一条或多条规则组成的集合,这些规则用于描述报文匹配条件的判断语句,通常基于报文的源地址、目的地址、端口号等特征进行过滤数据包

ACL本质上是一种报文过滤器,设备根据这些规则对报文进行匹配,并根据业务模块的处理策略决定允许或阻止报文通过。随着网络的发展,网络安全和服务质量(QoS)问题日益突出,企业重要服务器资源被随意访问、机密信息泄露、网络带宽被挤占等问题层出不穷。为了解决这些问题,ACL作为一种有效的网络访问控制手段应运而生。ACL能够阻塞攻击报文、为不同报文流提供差分服务、控制Telnet登录和FTP下载等,从而提高网络的安全性和可靠性。

基本ACL是访问控制列表的一种,用于基于IP报文的源IP地址进行匹配和过滤数据包。它的编号范围是2000到2999。基本ACL的主要作用是对网络流量进行简单的过滤,通常应用于对特定源IP地址的访问控制。例如,在路由器上部署基本ACL后,可以限制某个网段的用户访问特定的网络资源,从而提升网络的安全性。

eNSP实验拓扑:

实验要求:两个PC,一个S5700,一个AR3260和一个Server

配置PC1:

配置PC2:

在交换机LSW1上创建VLAN,并把G0/0/3设置成Trunk:

<Huawei>system-view

[Huawei]sysname LSW1

[LSW1]vlan batch 10 20

[LSW1]interface g0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1-GigabitEthernet0/0/1]quit

[LSW1]interface g0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interface g0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type trunk

[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

[LSW1-GigabitEthernet0/0/3]quit

在路由器R1上配置IP,并配置单臂路由让PC1和PC2可以互相访问:

<Huawei>system-view

[Huawei]sysname R1

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]undo shutdown

[R1-GigabitEthernet0/0/1]quit

[R1]interface g0/0/1.10

[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10

[R1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24

[R1-GigabitEthernet0/0/1.10]arp broadcast enable

[R1-GigabitEthernet0/0/1.10]quit

[R1]interface g0/0/1.20

[R1-GigabitEthernet0/0/1.20]dot1q termination vid 20

[R1-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24

[R1-GigabitEthernet0/0/1.20]arp broadcast enable

[R1-GigabitEthernet0/0/1.20]quit

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[R1-GigabitEthernet0/0/0]undo shutdown

[R1-GigabitEthernet0/0/0]quit

现在还没有配置ACL,对它们使用ping方法测试连通性:

连通性都没问题接下来配置ACL,让PC2无法访问Server1:

在R1上配置ACL:
[R1]acl 2000                                                                                      //创建ACL,编号为2000
[R1-acl-basic-2000]rule 10 deny source 192.168.20.0 0.0.0.255     //拒绝192.168.20.0网段
[R1-acl-basic-2000]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000                   //在G0/0/1接口方向配置流量过滤,当遇到ACL2000流量时,执行相同的过滤
[R1-GigabitEthernet0/0/1]quit

接下来测试PC1、PC2是否访问Server1:

PC1可以访问Server,而PC2不能访问Server,说明ACL配置成功了,因为在之前配置ACl里我们拒绝PC2的IP地址的通过,所以Server1无法接收到来自PC2的流量包。

因此通过ACL规则的设定,我们可以对不同类型流量进行区分和控制,提高网络带宽的利用效率。

zhgjx-dengkewen
关注
  • 27
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为ensp中高级acl (控制列表) 原理配置命令 (详解)_ensp高级acl配置示例(1)
2401_84281748的博客
05-08 931
在你提供的ACL配置中,ACL 3000中有两个规则,分别拒绝了源地址为192.168.1.2的ICMP流量和源地址为192.168.1.2,目标地址为192.168.2.2的ICMP流量。这个ACL 3000允许了源地址为192.168.1.0/24,目标地址为192.168.2.0/24的所有TCP流量,在指定的时间范围内(即工作时间)。它的作用是将所有目的地址为0.0.0.0/0(即所有未知目的地址)的流量都指向下一跳地址为6.6.6.6的路由器或者下一跳设备。其实可以访问的acl流量不需要设置。
eNSPVLAN、OSPF、ACL配置实例
最新发布
Hzy4557469的博客
04-15 1031
简单的网络拓扑,加快网络知识掌握。
华为ensp.访问控制列表(ACL):关于基本ACL和高级ACL————访问的代码基础讲解(允许或禁止访问)
m0_52479012的博客
01-02 1万+
ACL 目的:为了在设备进行通信时,保障传输的数据足够的安全可靠和网络的型能稳定。 访问控制列表((ACL)Access Coutrol List): 通过定义一些规则,根据规则对数据包进行分类,并针对不同的报文进行不同处理,从而可以实现对网络访问的控制.限制网络流量,提高网络性能,为了防止网络攻击等等。 ACL分类 分类 编号范围 参数 基本ACL 2000-2999 源IP地址等 高级ACL
eNSP综合实验(DHCP,VLAN划分,静态路由,ACL
OLDGANVER的博客
12-30 2440
基于eNSP综合实验(DHCP,VLAN划分,静态路由,ACL
华为ensp模拟器 配置ACL访问控制列表
运维派大星
07-03 6780
华为ensp模拟器,模拟配置acl访问规则,配置acl访问规则的详细解释和操作。
实验:使用基本ACL限制公司网络访问.docx
11-09
通过这个实验,学生不仅能够理解ACL的工作原理,还能掌握如何在实际环境中配置和应用ACL,以实现对公司网络的访问控制,从而提升网络的安全性和管理效率。同时,实验也涵盖了VLAN、三层交换机和路由器的基础配置,...
ENSP实验Acl nat server
10-20
ENSP实验Acl nat server】是网络模拟平台ENSP(Elastic Network Service Platform)中的一个实践环节,主要涉及网络安全和网络地址转换的关键技术。在实际的网络环境中,访问控制列表(Access Control List, ACL)...
eNSP实验8-1 基本ACL配置 - 新2
01-28
eNSP实验8-1 基本ACL配置 - 新2 本实验旨在掌握基本ACL配置方法,实现PC1可访问服务器,PC2不能访问。实验设备包括PC一台和eNSP软件,实验环境如实验拓扑图所示,路由器(型号AR3260)连接三个子网。 一、ACL基本...
简单ensp实验作业.zip
10-30
【标题】"简单ensp实验作业.zip" 指的是一项使用ENSP(Enterprise Network Simulation Platform,企业网络仿真平台)进行的实验练习,这个压缩包很可能是包含了与实验相关的配置文件、拓扑图或者指导文档等内容。...
华为eNSP拓扑综合实验-HCIA综合
11-01
【华为eNSP拓扑综合实验-HCIA综合】 ...参与者需熟悉路由器、交换机的基本操作,理解VLAN、路由协议的工作原理,并能应用ACL进行安全配置。通过这个实验,学习者将能够掌握构建、配置和维护小型网络的关键技能。
华为ensp---ACL实验2---三层交换机限制VLAN互访
qq_33754943的博客
03-23 1万+
场景:三层交换机,多个VLAN 需求:ACL限制VLAN间的互访 VLANVLANIF配置省略 PC3可以PING通PC4 [Huawei]traffic classifier tc1 [Huawei-classifier-tc1]if-match acl 3000 [Huawei-classifier-tc1]q [Huawei]traffic behavior tb1 [Huawei-behavior-tb1]deny [Huawei-behavior-tb1]q [Huawei]traffic
华为S5720交换机通过ACL限制VLAN之间的访问
热门推荐
womendouhenqiang的博客
05-23 5万+
华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan通过traffic-filter调用&lt;Huawei&gt;sys[Huawei]acl 3000               //创建高级ACL(3000~3999)[Huawei-acl-adv-3000][Huawei-acl-adv-3000]rule permit ip source19...
ensp——ACL实验
qq_45491497的博客
09-30 1万+
一丶搭建实验环境及基本配置 AR1的IP配置 [AR1]interface g0/0/0 [AR1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 [AR1-GigabitEthernet0/0/0]q [AR1]interface g0/0/1 [AR1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 AR2...
详解VLAN ACL配置实例
zhjcyn的专栏
07-15 1万+
VACL详解<br />    有些刚接触ACL(Access Control Lists)的朋友听到VACL可能有些陌生,本文将对VACL在Cisco COS和IOS版本的交换机上的使用,进行一个比较全面的描述。<br />  VACLVLAN ACL)和定时访问列表、动态访问列表、自反访问列表一样都属于ACL扩展应用的一部分,它定义了基于三层以上的信息流量,而所对应的参数则用于两层的VLAN。VACL多是针对硬件中应用,比传统的路由器访问列表处理速度明显快得多。目前,Cisco 6000(Policy
ensp中的ACL
JINGDIANDONGTAI的博客
11-14 5095
1ACL:访问控制列表 其作用为 一.实现访问控制 二.抓取感兴趣流量供其他技术调用 工作原理:通过在路由器上手工定义一张ACL列表,表中包含有多种访问规则,然后将此表调用在路由的某个接口的某个方向上,让路由器对收到的流量基于表中规则执行动作–允许、拒绝 ACL匹配规则:至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。 ACL的分类: 基本ACL:只能匹配数据包中的源IP地址 高级AC...
eNSP无法实现单向acl么?求大神指点。
Jeanjac的博客
03-01 3670
做了vlan,nat,dhcp的实验,都没问题。最后想做一个Server2所在的Vlan2不能被其他人访问,但不影响Vlan2向外发出的流量。写了下面的命令。 Advanced ACL 3000, 3 rules Acl's step is 10 rule 10 deny tcp destination 192.168.2.0 0.0.0.255 tcp-flag syn rule 20...
华为ENSP——ACL访问控制列表
u014042047的博客
08-01 7540
文章目录一、实验步骤1.1 实验拓扑图1.2 需求及分析:1.3 实验详细步骤及配置: 一、实验步骤 1.1 实验拓扑图 1.2 需求及分析: 需求 1、实现全网互通 2、设置标准访问控制列表,使VLAN10与VLAN20不能通信 3、配置扩展访问控制列表,使AR1不能访问ftp服务器,但其他流量不受影响 实验分析: 1、实现全网互通: 要实现全网互通就应该对SW1、AR1、AR3进行正确配置,第一步要在SW1中创建VLAN10与20,并分别将E0/0/1至0/0/4接口设置为access口,g0

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值