HCIA的实验(二)

已于 2024-10-27 14:51:40 修改
阅读量289 收藏 7
点赞数 3
文章标签: 网络
于 2024-10-27 13:40:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80916871/article/details/143267523
版权

对于acl 和talent的运用

一、概念

ACL:访问控制列表  

1、访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝   

2、定义感兴趣流量-----帮助其他软件抓流量  

匹配规则:至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。

分类:

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中,由于标准ACL仅关注数据包中的源IP地址,故越靠近目标越好,可以尽可能的避免误杀。2000-2999  标准           3000-3999 扩展  

注意:一个编码是一张规则,一张规则可以容纳大量具体的规则

①标准:[R2]acl 2000 创建acl

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时,会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

②扩展ACL

关注数据包中的源IP以及目标IP 由于扩展ACL可以对数据流量进行精确分析,故越靠近源越好。在关注源/目标IP地址的同时,在关注目标端口号

Telnet---远程登录   基于TCP23号端口工作  

条件:1.登录设备与被登陆设备之间必须可达

           2.被登陆设备必须开启telnet设定

二、实验拓扑图

实验目标

PC1可以trlnetR1但是不能pingR1

PC1可以pingR2但是不能trinetR2

PC2所有要求与PC1相反

三.实验中各个设备的配置

1.PC1和PC2的配置(PC2配置相同)——以达到全网通

<Huawei>sys	
[Huawei]sysname PC1
[PC1]int g 0/0/0
[PC1-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[PC1-GigabitEthernet0/0/0]q
[PC1]ip route-static 0.0.0.0 0 192.168.2.1   配置缺省静态路由使得路由器成为假PC端

AR2也将配置一条静态路由

[R2]ip route-static 192.168.2.0 24 192.168.1.1

2.AR1的主要配置

在运用之前将,每个设备的接口上配置IP 地址

AR2只需要将talent协议配置即可

###telnet
[AR1]aaa    进入aaa服务               	
[AR1-aaa]local-user ABC privilege level 15 password cipher 1    创建用户BB并
赋予最高权限,设置其密码为1
[AR1-aaa]local-user AA service-type telnet    启用用户的telnet服务
[AR1-aaa]q
[AR1]user-interface vty 0 4    为telnet准备5个路径
[AR1-ui-vty0-4]authentication-mode aaa    5个路径启用aaa服务
 
###acl
[AR1]acl 3000    开启acl扩展服务
[AR1-acl-adv-3000]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.1
68.2.1 0.0.0.0 
[AR1-acl-adv-3000]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.1
68.1.1 0.0.0.0
[AR1-acl-adv-3000]rule deny tcp source 192.168.2.2 0.0.0.0 destination 192.168.1
.2 0.0.0.0 destination-port eq 23
禁用PC1 ping AR1的俩接口 和 PC1 telnet AR2
 
[AR1-acl-adv-3000]rule deny icmp source 192.168.2.3 0.0.0.0 destination 192.168.
1.2 0.0.0.0
[AR1-acl-adv-3000]rule deny tcp source 192.168.2.3 0.0.0.0 destination 192.168
.1.1 0.0.0.0 destination-port eq 23
[AR1-acl-adv-3000]rule deny tcp source 192.168.2.3 0.0.0.0 destination 192.168.2
.1 0.0.0.0 destination-port eq 23
同上面,禁用PC2 telnet AR1
[AR1]int g 0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000    在该接口运用acl

四、实验结果

PC1对AR1和AR2的结果(PC2的实验结果与其相反)

池以遇
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值