ensp之ACL小实验

已于 2024-01-21 22:08:06 修改
阅读量2.2k 收藏 29
点赞数 5
分类专栏: 网络 文章标签: 网络
于 2023-07-25 20:50:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AXDRXS/article/details/131925253
版权
该实验涉及在华为路由器上配置扩展ACL,以实现特定的网络访问控制。首先,搭建拓扑图并分配IP地址,然后设置缺省路由确保全网可达。接着,开启telnet服务并配置用户账户。在R1上创建ACL,禁止PC1pingR1和telnet到R2,允许PC2pingR1但不能telnetR1。同时,PC2可以pingR2但不能telnetR2。最后进行测试以验证配置效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、实验题目

 二、分析需求

2.1 确定ACL类型

2.2 撰写逻辑思路

三、实验步骤

3.1 搭建拓扑图,规划合法IP

 3.2 写缺省路由,实现全网可达

3.3 开启telnet服务

3.4 编写ACL表实现需求

四、测试

PC1可登录R1,不可登录R2

 PC1不可pingR1,可pingR2​编辑

PC2可pingR1,不可pingR2

 PC2可telnetR2,不可telnetR1​编辑

一、实验题目

 二、分析需求

2.1 确定ACL类型

ACL分为基础ACL、扩展ACL以及二层ACL,由于本题具体到做什么,则使用扩展ACL,范围为3000-3999,由于ACL主打的就是就近原则,所以在R1的G0/0/1接口上调用,那么只需要写一张表即可。

2.2 撰写逻辑思路

先写拒绝要求,再写允许,华为默认允许所有,不用写。按照题目要求:

PC1可以登录R1,不可以ping       192.168.1.2 icmp192.168.1.1和2.1

PC2可以登录R2,不可以ping        192.168.1.3 icmp192.168.2.2

PC1不可以登录R2,可以ping        TCP 192.168.1.1 0 192.168.2.2 eq 23

PC2不可以登录R1,可以ping        TCP 192.168.1.3 0 192.168.1.1 eq 23

三、实验步骤

3.1 搭建拓扑图,规划合法IP

[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[r1-GigabitEthernet0/0/1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.2.1 24

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 192.168.2.2 24

[PC1]int g0/0/0
[PC1-GigabitEthernet0/0/0]ip add	
[PC1-GigabitEthernet0/0/0]ip address 192.168.1.2 24

[PC2]int g0/0/0
[PC2-GigabitEthernet0/0/0]ip address 192.168.1.3 24
 3.2 写缺省路由,实现全网可达
[PC1]ip route-static 0.0.0.0 0 192.168.1.1
[PC2]ip route-static 0.0.0.0 0 192.168.1.1
[r2]ip route-static 192.168.1.0 24 192.168.2.1
3.3 开启telnet服务
(r1r2相同命令)
添加账号
[r1-aaa]local-user wl password cipher 123456
Info: Add a new user.
确定服务类型
[r1-aaa]local-user wl service-type telnet
制定权限
[r1-aaa]local-user wl privilege level 15
[r1-aaa]q
制定最大登录数量
[r1]user-interface vty 0 4
确定用aaa方式
[r1-ui-vty0-4]authentication-mode aaa
[r1-ui-vty0-4]q
3.4 编写ACL表实现需求
[r1]acl 3000
pc1不可以ping通r1
[r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.1.1 0
[r1-acl-adv-3000]rule deny icmp source 192.168.1.2 0 destination 192.168.2.1 0
pc1不可以telnet r2
[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.2.2 0 destination-port eq 23
pc2不可以telnet r1
[r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.1.1 0 destination-port eq 23
pc2不可以ping通r2
[r1-acl-adv-3000]rule deny icmp source 192.168.1.3 0 destination 192.168.2.2 0
进入r1下面接口,用traffic-filiter inbound acl 3000
命令打开服务

四、测试

PC1可登录R1,不可登录R2

 PC1不可pingR1,可pingR2
PC2可pingR1,不可pingR2

 

 PC2可telnetR2,不可telnetR1

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Smiling Mr. Rui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值