第1章、前言
在网络的配置中,我们会碰到一种情况就是当整个网络配置成功后,需要对特定的主机/服务器进行数据包的过滤,亦或者是对一些用户需要进行行为管理(包括禁止使用娱乐类,视频类的软件),此时通过ACL(访问控制列表)的配置就可以实现这个需求,借助ACL(访问控制列表),可以有效的控制用户对于网络的访问,并可以大大保护网络的安全。
本篇文章主要讲述ACL概念以及通过HCL模拟器实现ACL的实验配置。
第2章 、ACL相关概念
| ACL的分类 | ||
| 分类类型 | 基本ACL | 高级ACL |
| 编号范围 | 2000-2999 | 3000-3999 |
| 适用场景 | 数据包匹配较粗,适用于大范围批量处理 | 数据包匹配较细,适用于小型/精细型处理 |
| 匹配规则 | 默认从上往下匹配,步长越小,规则越优先 | |
第3章、 ACL配置实例
拓扑实例:
3.1 SW1基础配置
| 序号 | 配置代码 | 解释说明 |
| 1 | system-view | 进入系统试图 |
| 2 | sysname SW1 | 设备重命名设为SW1 |
| 3 | undo info-center enable | 关闭系统日志信息提示 |
| 4 | ntp-service enable | 开启NTP时钟服务器 |
| 5 | exit | 返回上一级 |
| 6 | save force | 保存设备配置 |
3.2 SW2基础配置
| 序号 | 配置代码 | 解释说明 |
| 1 | system-view | 进入系统试图 |
| 2 | sysname SW2 | 设备重命名设为SW2 |
| 3 | undo info-center enable | 关闭系统日志信息提示 |
| 4 | ntp-service enable | 开启NTP时钟服务器 |
| 5 | exit | 返回上一级 |
| 6 | save force | 保存设备配置 |
3.3 RTA基本配置
| 序号 | 配置代码 | 解释说明 |
| 1 | system-view | 进入系统试图 |
| 2 | sysname RTA | 设备重命名设为R1 |
| 3 | undo info-center enable | 关闭系统日志信息提示 |
| 4 | ntp-service enable | 开启NTP时钟服务器 |
| 5 | interface GigabitEthernet 0/0 | 进入端口 |
| 6 | ip address 192.168.10.254 24 | 配置端口地址 |
| 7 | quit | 返回上一级 |
| 8 | interface GigabitEtherenet 0/1 | 进入端口 |
| 9 | ip address 12.1.1.1 24 | 配置端口地址 |
| 10 | exit | 返回上一级 |
| 11 | save force | 保存设备配置 |
3.4 RTB 基础配置
| 序号 | 配置代码 | 解释说明 |
| 1 | system-view | 进入系统试图 |
| 2 | sysname RTB | 设备重命名设为R2 |
| 3 | undo info-center enable | 关闭系统日志信息提示 |
| 4 | ntp-service enable | 开启NTP时钟服务器 |
| 5 | interface GigabitEthernet 0/1 | 进入端口 |
| 6 | ip address 172.16.10.254 24 | 配置地址 |
| 7 | quit | 返回上一级 |
| 8 | interface GigabitEtherenet 0/0 | 进入端口 |
| 9 | ip address 12.1.1.2 24 | 配置地址 |
| 10 | exit | 返回上一级 |
| 11 | save force | 保存设备配置 |
3.5 SERVER配置
| 序号 | 配置代码 | 解释说明 |
| 1 | system-view | 进入系统试图 |
| 2 | sysname SERVER | 设备重命名设为SERVER |
| 3 | interface GigabitEtherenet 0/0 | 进入端口 |
| 4 | ip address 172.16.10.2 24 | 配置地址 |
| 5 | quit | 退出 |
| 6 | save force | 保存设备配置 |
3.6 静态路由配置
| 序号 | 配置代码 | 解释说明 |
| 1 | [RTA]ip route-static 172.16.10.0 24 12.1.1.2 | 配置静态路由 |
| 2 | [RTA]quit | 返回 |
| 3 | [RTA]save force | 保存配置 |
| 序号 | 配置代码 | 解释说明 |
| 1 | [RTB]ip route-static 192.168.10.0 24 12.1.1.1 | 配置静态路由 |
| 2 | [RTB]quit | 返回 |
| 3 | [RTB]save force | 保存配置 |
| 序号 | 配置代码 | 解释说明 |
| 1 | [SERVER]ip route-static 192.168.10.0 24 172.16.10.254 | 配置静态路由 |
| 2 | [SERVER]quit | 返回 |
| 3 | [SERVER]save force | 保存配置 |
如下图所示,完成上述配置后即可实现网络互通
3.7 R2配置基础ACL
| 序号 | 配置代码 | 解释说明 |
| 1 | Acl basic 2000 | 配置基础ACL |
| 2 | Rule 5 deny source 192.168.10.1 0 | 配置步长为5的ACL,禁止原地址为192.168.10.1的访问 |
| 3 | interface GigabitEthernet 0/1 | 进入端口 |
| 4 | packet-filter 2000 outbound | 在该端口配置ACL2000 |
| 5 | Quit | 退出 |
| 6 | Save force | 保存配置 |
如下图所示,完成R2的ACL基础配置后,即可实现PC1禁止访问172.16.10.0网段
3.8 R2配置高级ACL
| 序号 | 配置代码 | 解释说明 |
| 1 | Acl advanced 3000 | 配置高级ACL |
| 2 | Rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 | 配置禁止来自原地址192.168.10.0网段地址对172.16.10.2主机的icmp请求 |
| 3 | interface GigabitEthernet 0/1 | 进入端口 |
| 4 | packet-filter 3000 outbound | 在该端口配置ACL3000 |
| 5 | Quit | 退出 |
| 6 | Save force | 保存配置 |
如下图所示,配置完后实现禁止来自原地址192.168.10.0网段地址对172.16.10.2主机的icmp请求
第4章、总结
本次网络部分内容到这里也将告一段落,这个篇章中我们学习了VLAN,DHCP,ACL,端口聚合,交换机堆叠等知识点。
往期回顾
【H3C网络】5-轻松掌握网络优化:端口聚合与堆叠配置全攻略
关注wxgzh:智汇卓云
5307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
