基本ACL和高级ACL配置实验

原创 已于 2025-12-17 08:57:34 修改 · 464 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能路由器 #华为 #网络 #服务器 #运维

于 2025-12-17 00:07:40 首次发布

项目要求

三层交换机的访问控制策略主要是通过ACL访问控制列表对不同VLAN的IP地址段进行流量匹配控制。标准ACL可以对IP包进行源地址匹配,即检查通过IP包中的源地址信息,如果源地址与ACL中的规则相匹配,就执行放行或拦截的操作。为了让其它部门无法访问财务系统服务器,可以在三层交换机中配置匹配财务部IP地址段、拒绝其他所有IP的ACL,并在G0/0/2接口的OUT方向上应用;同时在添加拒绝财务部系统服务器IP地址段的ACL,在G0/0/1接口的OUT方向上应用,组织财务部系统服务器访问外部网络。外部网络连接方面,三层交换机配置默认路由指向出口路由器。
在这里插入图片描述

项目实施

(1)配置交换机基础环境

①为各部门创建相应的VLAN

<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan batch 10 20 30 40 50

②将各部门计算机所使用的端口类型转换为ACCESS模式,并设置接口PVID,将端口划分到相应的VLAN

[SW1]port-group group-member Ethernet 0/0/1 to Ethernet 0/0/5
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 10
[SW1-port-group]quit
[SW1]port-group group-member Ethernet 0/0/6 to Ethernet 0/0/15
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 20
[SW1-port-group] quit
[SW1]port-group group-member Ethernet 0/0/16 to Ethernet 0/0/20
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 30
[SW1-port-group] quit
[SW1]interface G0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 40
[SW1-port-group] quit
[SW1]interface G0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 50
[SW1-port-group] quit

③配置vlanif接口的IP地址,作为各部门的网关

[SW1]interface Vlanif 10
[SW1-Vlanif10]ip add 192.168.10.254 24
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip add 192.168.20.254 24
[SW1]interface Vlanif 30
[SW1-Vlanif30]ip add 192.168.30.254 24
[SW1]interface Vlanif 40
[SW1-Vlanif40]ip add 192.168.40.254 24
[SW1]interface Vlanif 50
[SW1-Vlanif50]ip add 192.168.1.254 24

④配置交换机默认路由

[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

(2)配置路由器基础环境

①配置路由器接口IP地址

[Huawei]system-view
[Huawei]sysname R1
[R1]int G0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[R1]int G0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.10.10.1 24

②配置路由器静态路由

[R1]ip route-static 192.168.10.0 255.255.255.0 192.168.1.254
[R1]ip route-static 192.168.20.0 255.255.255.0 192.168.1.254
[R1]ip route-static 192.168.30.0 255.255.255.0 192.168.1.254
[R1]ip route-static 192.168.40.0 255.255.255.0 192.168.1.254

(3)配置基本ACL控制访问

基本ACL配置

①在交换机上配置ACL规则,允许数据包源网段为192.168.30.0的报文通过。将规则应用到G0/0/2的端口上。

[SW1]acl 2000
[SW1-acl-basic-2000]rule permit source 192.168.30.0 0.0.0.255
[SW1-acl-basic-2000]rule deny 
[SW1]int G0/0/2
[SW1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

②在交换机上配置ACL规则,拒绝数据包源网段为192.168.40.0的报文通过。将规则应用到G0/0/1的端口上。

[SW1]acl 2001
[SW1-acl-basic-2001]rule deny source 192.168.40.0 0.0.0.255
[SW1]int G0/0/1
[SW1-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

在路由器上配置高级ACL规则,允许财务部PC1对服务器80端口的访问。将规则应用到G0/0/1的端口上。

[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.10.1 0 destination-port eq www
[R1-acl-adv-3000]rule 10 deny ip
[R1]int G0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

高级ACL基本配置

②在路由器上配置高级ACL规则,拒绝财务系统服务器对外网的访问。将规则应用到G0/0/0的端口上。

[R1]acl 3001
[R1-acl-adv-3001]rule 5 deny ip source 192.168.20.0 0.0.0.255
[R1-acl-adv-3001]rule 10 permit ip
[R1]int g0/0/0
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3001

项目验证

(1)查看访问控制列表

SW1的配置

(2)测试各部门计算机的互通性
通过Ping命令,测试各部门内部通信息的情况。
使用开发部计算机Ping市场部及财务部的计算机:
在这里插入图片描述
(3)测试各部门与财务系统的连接性
使用开发部的计算机Ping财务系统:
在这里插入图片描述
使用财务部的计算机Ping财务系统:
在这里插入图片描述
可以观察到其他部门无法连接到财务系统服务器上,唯有财务部可以连接到财务系统上。

(4)测试外部网络的连通性
通过Ping命令,测试各部门PC及财务系统服务器是否能够访问外网。
使用开发部的计算机Ping外部网络:
在这里插入图片描述
使用财务系统服务器Ping外部网络:
在这里插入图片描述
可以观察到到其他部门均能访问外部网络,唯有财务系统服务器无法访问外部网络。
基本 ACL(访问控制列表)和高级 ACL 的核心区别的是 过滤依据的精细度:基本 ACL 仅基于源 IP 地址过滤,功能简单;高级 ACL 可基于源 IP、目的 IP、端口号、协议类型等多条件组合过滤,灵活精准

华为ensp 使用扩展ACL限制公司网络访问
weixin_68521483的博客
03-18 3839
扩展ACL可以对IP包地址信息中的源地址、目的地址、协议、端口号进行匹配,即检查通过IP包中的地址信息,如果地址信息与ACL中的规则相匹配,就执行放行或拦截的操作。在本项目中,访问控制策略主要集中在对财务系统服务器的访问权限上,可通过路由器上应用即可实现。Jan16公司财务部计算机若干台,并架设了专用的财务系统服务器,进行局域网组建,通过路由器连接至互联网。出于财务系统数据安全的考虑,需要在路由器访问控制策略,只能财务部PC1能够访问财务系统前端网站;财务系统服务器仅在内网使用,不允许访问外部网络
高级ACL配置实验
lwljh134的博客
09-20 2824
分析:PC2访问PC1的流量到达了PC1,PC1的回应包到达了R1的g0/0/0然后丢弃,这样会浪费带宽,所以要加上ACL 3001,这样PC2访问PC1的流量在R1的g0/0/1上就丢弃了。:指定ACL规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。:指定ACL规则匹配报文时,区分服务代码点(Differentiated Services Code Point),取值为:0~63。:指定ACL规则匹配报文时,依据服务类型字段进行过滤,取值为:0~15。
实验:Jan16公司基于VRRP的负载均衡出口链路配置.docx
10-26
实验给出了Jan16公司基于VRRP的负载均衡出口链路配置过程结果
实验:Jan16公司基于VRRP的ISP双出口备份链路配置.docx
10-25
实验给出了Jan16公司基于VRRP的ISP双出口备份链路配置的详细过程,最后对实验进行了验证
基本ACL
Zzaizhu的博客
12-16 2089
使用基本ACL限制公司网络访问。
高级ACL限制公司网络访问
zip471642048的博客
12-22 8909
实验拓扑 Jan16 公司财务部计算机若干台,并架设了专用的财务系统服务器,进行局域网组建, 通过路由器连接至互联网。出于财务系统数据安全的考虑,需要在路由器访问控制策略,只 能财务部 PC1 能够访问财务系统前端网站;同时,服务器不可访问外部网络。项目拓扑如图 1 所示。具体要求如下: (1) 要求仅允许财务部 PC1 访问财务系统服务器前端网站; (2) 财务系统服务器仅在内网使用,不允许访问外部网络; (3) 测试计算机、路由器的 IP 接口信息如拓扑所示。 1.基本配置 1.1配置路由器接口地
ACL概念及基本配置实验
a2788656708的博客
12-23 8505
什么是ACL? 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 为什么使用ACLACL作为一个过滤器,设备通过应用ACL来阻止允许特定流量的流入流出,如果没有它,任何流量都会自由流入流出,使得网络
高级ACL配置实验报告
xuezha_liang的博客
03-31 1897
高级ACL配置实验报告 高级ACL配置 需求描述 -允许Client 1访问 Server 1的web服务 -允许Client 1访问网络192.168.3.0 /24 -禁止Client 1 访问其它网络 操作步骤: 一、使用eNSP搭建实验环境 二、配置Client 1、Server1、PC 1 1、配置Client 1 2、配置Server 1 3、配置PC 1 三、配置路由器 1、配置路由器AR 1 2、配置路由器AR 2 3、配置路...
网络设计与集成-ACL配置-实验三报告.doc
04-27
5. **高级ACL配置**:可能涉及到更复杂的规则,如基于端口、协议等进行更细致的过滤。例如,仅允许特定端口的TCP或UDP流量,或者限制特定协议(如HTTP、FTP等)的访问。 **验证配置结果**: 通过ping、tracert...
ACL配置
09-27
总结来说,ACL配置网络管理中的核心技能,无论是基本ACL还是高级ACL,都是通过制定规则来实现网络访问控制。理解并熟练运用ACL能够帮助企业更好地保护其网络资源,确保数据安全,以及合理地分配限制不同用户的...
实验:使用基本ACL限制公司网络访问.docx
11-09
实验使用基本ACL限制公司网络访问,三层交换机的访问策略主要是通过ACL访问控制列表对不同VLAN的IP地址段进行流量匹配控制。
Easy IP部署
zip471642048的博客
12-22 3101
实验拓扑 Jan16 公司有计算机若干台,利用交换机建了局域网,并通过出口路由器连接互联网。因业务开展的需要,公司申请了一个公网IP地址,现需配置出口路由器,实现内部网络访问互联网。 基础配置 2. 配置路由器接口 在路由器接口配置对应IP。 [Huawei]system-view [Huawei]sysname R1 [R1]int G0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.10.254 24 [R1]int G0/0/1 [R1-GigabitEt
华为ENSP基本ACL实验
u014551471的博客
06-10 1159
使用基本ACL限制公司网络访问 1.项目背景 Jan16公司有开发部、市场部财务部,各有计算机若干台、财务系统服务器1台,使用三层交换机进行局域网组建,并通过路由器连接至外部网络。出于数据安全的考虑,需要在交换机上进行访问控制。项目拓扑如图1所示。具体要求如下: (1) SW1上为开发部、市场部、财务部及财务系统分别创建了VLAN10、20、30、40; (2) 要求财务系统服务器仅允许财务部进行访问; (3) 财务系统服务器仅在内网使用,不允许访问外部网络; (4) 测试计算机、交换机
交换机的标准访问控制
angle1020的博客
05-07 5706
项目目标:(1)了解IP标准访问控制列表的功能及用途(2)掌握交换机IP标准访问控制列表配置技能工作任务:你是公司网络管理员,公司的技术部、业务部财务部分属不同的3个网段,三个部门之间通过三层交换机进行信息传递,为了安全起见,公司要求你对网络的数据流量进行控制,实现技术部的主机可以访问财务部的主机,但是业务部的主机不能访问财务部的主机。任务分析首先对三层交换机进行基本配置,实现三个网段可以相互访...
基于端口安全的Jan16公司网络组建
qq_62353531的博客
08-28 2768
在进行端口绑定时,需要查看两个信息,一个是计算机的MAC地址,另一个是计算机接入的端口。因此,可以先从计算机查看本机的MAC地址,然后从交换机上查看MAC地址对应的端口,最后进行MAC地址端口的绑定。MAC地址是计算机的唯一物理标识,可以通过在交换机对应的端口上进行绑定,非绑定的MAC将无法接入到网络中。把计算机PC3,更换为计算机PC4,IP地址相同,MAC地址不同,连接到交换机Eth0/0/3接口上。可以看出,更换计算机后,MAC地址不同,计算机不能通信。(2)查看MAC所在的交换机端口。
基于 VLANIF 的公司网络搭建
zip471642048的博客
12-21 3892
实验拓扑 Jan16 公司现有财务部技术部,使用一台 24 口三层交换机进行互联。为方便管理, 要求为部门创建相应的 VLAN,并实现 VLAN 间通信。 1.1基础配置 三层交换机可以通过创建 VLANIF 的方式实现VLAN 间的通信。在交换机中创建 VLAN10、VLAN20 分别用于财务部、技术部的计算机接入,VLAN10 使用 192.168.1.0/24 网段,VLAN20 使用 192.168.2.0/24 网段。在交换机中创建 VLAN10、VLAN20 的 VLANIF 接口,并配置
华为设备内网常用访问控制案例配置
IT技术
05-18 1187
华为设备内网常用访问控制案例配置
交换机端口安全
zip471642048的博客
12-22 3788
实验拓扑 基于端口安全的Jan16公司网络组建,Jan16公司开发部为重要部门,所有员工使用指定的计算机工作,为防止员工或访客使用个人电脑接入网络,将使用基于端口安全策略组建开发部网络。 1.基本配置 1.1配置主机PC 2.测试主机之间的连通性 测试PC1与PC2,PC3的连通性 PC>ping 192.168.10.2 PC>ping 192.168.10.3 ping 192.168.10.2 ping 192.168.10.3 试PC2与PC3的连通性 ping 192
标准ACL配置举例(某公司经理部、财务部销售部)
salmonwilliam的博客
12-25 6782
  某公司经理部、财务部销售部分别属于3个不同的网段,通过路由器传递信息。要求: 销售部PC2不能访问财务部PC3; 经理部PC1可以访问财务部PC3。 第一步:R1接口参数OSPF协议配置 Router&gt;en Router#conf t Router(config)#hostname R1 R1(config)#int f0/0 R1(config-if)#ip add...
华三基本acl配置实验
最新发布
11-11
华三基本 ACL 配置实验教程及步骤可参考以下内容: ### 实验目的 实现特定网段或主机之间的访问控制,例如限制某些主机对特定设备的访问,确保网络安全与合理使用。如在某实验中要求实现 192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,或限制某台主机访问特定设备等 [^3]。 ### 实验步骤 #### 1. 设备基本配置 以在 R2 设备上配置为例,首先修改设备名称并配置接口地址: ```plaintext <H3C> SYS [H3C] SYSN R2 [R2] inter g0/0 [R2-GigabitEthernet0/0] ip add 1.1.1.2 24 [R2-GigabitEthernet0/0] inter g0/1 [R2-GigabitEthernet0/1] ip add 2.2.2.1 24 [R2-GigabitEthernet0/1] inter g0/2 [R2-GigabitEthernet0/2] ip add 3.3.3.1 24 [R2-GigabitEthernet0/2] qu ``` 此步骤是为设备的各个接口分配 IP 地址,以便后续网络通信 ACL 规则的应用 [^4]。 #### 2. 配置 OSPF(可选,根据网络环境) 若网络采用 OSPF 路由协议,需配置 OSPF 进程号区域,将相关网段划入到指定区域: ```plaintext [R2] ospf 1 [R2-ospf-1] a 0 [R2-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0] network 3.3.3.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0] network 2.2.2.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0] qu ``` 该步骤确保网络中各设备之间能够通过 OSPF 协议实现路由互通 [^4]。 #### 3. 创建基本 ACL 并定义规则 创建基本 ACL,然后定义允许或拒绝的数据包特征,例如限制 PC2 访问 R4: ```plaintext [R2] acl basic 2000 [R2-acl-ipv4-basic-2000] rule deny source 6.6.6.2 0 [R2-acl-ipv4-basic-2000] qu ``` 这里创建了编号为 2000 的基本 ACL,并添加了一条规则,拒绝源 IP 地址为 6.6.6.2 的数据包通过 [^4]。 #### 4. 将 ACL 应用到接口 将创建好的 ACL 规则应用到具体的接口方向上,如将 ACL 2000 绑定到 R4 的 g0/2 出接口处: ```plaintext [R2] inter g0/2 [R2-GigabitEthernet0/2] packet-filter 2000 outbound [R2-GigabitEthernet0/2] qu ``` 此步骤使得通过该接口的数据包会按照 ACL 规则进行匹配过滤 [^4]。 ### 实验验证 完成配置后,需要进行实验验证,检查是否达到预期的访问控制效果。例如,测试被限制的主机是否无法访问目标设备,允许访问的主机是否可以正常通信等。 ### 解决可能遇到的问题 在实验过程中可能会遇到基础 ACL高级 ACL 之间的冲突问题,可通过命令(如 `undo acl basic name PC1`)来解决此类冲突,保证实验的顺利进行 [^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值