使用华为eNSP组网试验⑸-访问控制

最新推荐文章于 2024-06-19 22:42:37 发布
最新推荐文章于 2024-06-19 22:42:37 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: 网络管理 文章标签: 华为 eNSP 访问控制列表 限制访问 限制网速
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dawn0718/article/details/133563561
版权

  今天练习使用华为sNSP模拟网络设备上的访问控制,这样的操作我经常在华为的S7706、S5720、S5735或者H3C的S5500、S5130、S7706上进行,在网络设备上根据情况应用访问控制的策略是一个网管必须熟练的操作,只是在真机上操作一般比较谨慎,现在模拟器上试验就轻松了许多。

  先准备一个全网通的环境:

  上面是全网通的环境,验证:

  路由器Router1的静态路由:

ip route-static 1.1.1.1 255.255.255.255 11.11.12.1
ip route-static 3.3.3.3 255.255.255.255 11.11.11.2
ip route-static 4.4.4.4 255.255.255.255 11.11.11.2
ip route-static 5.5.5.5 255.255.255.255 11.11.11.2
ip route-static 11.11.13.0 255.255.255.0 11.11.11.2
ip route-static 11.11.14.0 255.255.255.0 11.11.11.2
ip route-static 172.16.2.0 255.255.255.0 11.11.11.2
ip route-static 172.16.11.0 255.255.255.0 11.11.11.2
ip route-static 192.168.9.0 255.255.255.0 11.11.12.1
ip route-static 192.168.19.0 255.255.255.0 11.11.12.1
ip route-static 192.168.29.0 255.255.255.0 11.11.12.1

  路由器Router2的静态路由:

ip route-static 1.1.1.1 255.255.255.255 11.11.11.1
ip route-static 2.2.2.2 255.255.255.255 11.11.11.1
ip route-static 4.4.4.4 255.255.255.255 11.11.13.1
ip route-static 5.5.5.5 255.255.255.255 11.11.14.1
ip route-static 11.11.12.0 255.255.255.0 11.11.11.1
ip route-static 172.16.2.0 255.255.255.0 11.11.13.1
ip route-static 172.16.11.0 255.255.255.0 11.11.14.1
ip route-static 192.168.9.0 255.255.255.0 11.11.11.1
ip route-static 192.168.19.0 255.255.255.0 11.11.11.1
ip route-static 192.168.29.0 255.255.255.0 11.11.11.1

  一、基于MAC地址拒绝网络设备上网

  这个方式可以通过访问控制列表限制IP、将这个IP放入黑洞、禁用接口等来实现,下面通过流策略来完成操作。

  假如限制IP地址为192.168.9.3的计算机,我们可以得到它的Mac地址为54-89-98-B4-4C-48。

  ①在交换机SW1上创建访问控制列表4019;

acl number 4019
 rule 10 deny source-mac 5489-98b4-4c48

  ②在交换机SW1上创建流分类tc1,并且匹配访问控制列表4019;

traffic classifier tc1 operator and
 if-match acl 4019

  ③在交换机SW1上创建流行为tb1,并且设置为拒绝;

traffic behavior tb1
 deny

  ④在交换机SW1上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1
 classifier tc1 behavior tb1

  ⑤在交换机SW1的端口GigabitEthernet0/0/0的入口处绑定流策略tp1。

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 traffic-policy tp1 inbound

  简单的写,也可以直接在端口上绑定访问控制列表:

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 traffic-filter inbound acl 4019

  也可以达到限制该计算机的上网,效果是一样的。

  二、限制访问目的设备

  假定172.16.2.5是服务器地址,拒绝192.168.9.0网段访问,但是允许192.168.19.0和192.168.29.0的网段访问。

  ①在交换机SW2上创建访问控制列表3019;

acl number 3019
 rule 10 deny ip source 192.168.9.0 0.0.0.255 destination 172.16.2.5 0

  ②在交换机SW2上创建流分类tc1,并且匹配访问控制列表3019;

traffic classifier tc1 operator and
 if-match acl 3019

  ③在交换机SW2上创建流行为tb1,并且设置为允许;

traffic behavior tb1
 permit

  ④在交换机SW2上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1
 classifier tc1 behavior tb1

  ⑤在交换机SW2的端口GigabitEthernet0/0/1的入口处绑定流策略tp1。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 300
 traffic-policy tp1 inbound

  上面的操作等价于:

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 300
 traffic-filter inbound acl 3019

  但是显然流策略可以实现的目的更广泛,虽然ACL可以实现的目的也很多。
  上面的写法可以变化,访问控制列表为允许,那么流行为就是禁止,效果也是一样的。

  三、限制上网速度

  假定现在要限制IP地址为192.168.9.0的网段的网速,可以通过下面的设置来完成。

  ①在交换机SW1上创建访问控制列表3019;

acl number 3019
 rule 10 permit ip source 192.168.9.0 0.0.0.255

  ②在交换机SW1上创建流分类tc1,并且匹配访问控制列表3019;

traffic classifier tc1 operator and
 if-match acl 3019

  ③在交换机SW1上创建流行为tb1,并且设定网速的限制;

traffic behavior tb1
 car cir 1024 pir 4096 cbs 128000 pbs 512000 green pass yellow pass red discard
 statistic enable

  限定网速为1M,最大为4M。

  ④在交换机SW1上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1
 classifier tc1 behavior tb1

  ⑤在交换机SW1的端口GigabitEthernet0/0/0的入口处绑定流策略tp1。

interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
 traffic-policy tp1 inbound

  四、策略路由

  可以根据不同的IP决定数据流走不同的路由,有一些应用对不同的路由选择有需求,这个时候可以使用流策略来完成。

  实验图:

  上面的图示中,192.168.9.3最终访问172.16.1.2,192.168.19.3访问172.16.2.2,从而通过策略路由来达到隔离访问的目的,也可以限定网速,比如一条线路为高速,一条线路为一般速度,可以根据源IP来决定是否走高速。

  路由器R0:

[V200R003C00]
#
 sysname Router0
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 set cpu-usage threshold 80 restore 75
#
acl number 3010  
 rule 10 permit ip source 192.168.9.0 0.0.0.255 
acl number 3020  
 rule 10 permit ip source 192.168.19.0 0.0.0.255 
#
traffic classifier tc20 operator or
 if-match acl 3020
traffic classifier tc10 operator or
 if-match acl 3010
#
traffic behavior tb20
 redirect ip-nexthop 11.11.13.2
traffic behavior tb10
 redirect ip-nexthop 11.11.11.2
#
traffic policy tp10
 classifier tc10 behavior tb10
 classifier tc20 behavior tb20
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 11.11.11.1 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 11.11.13.1 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 11.11.9.2 255.255.255.252 
 traffic-policy tp10 inbound
#
interface NULL0
#
ip route-static 192.168.9.0 255.255.255.0 11.11.9.1
ip route-static 192.168.19.0 255.255.255.0 11.11.9.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  路由器R1:

[V200R003C00]
#
 sysname Router1
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 11.11.11.2 255.255.255.252 
 arp-proxy enable
#
interface GigabitEthernet0/0/1
 ip address 172.16.1.1 255.255.255.0 
 arp-proxy enable
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 
#
ospf 1 router-id 2.2.2.2 
 import-route static
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 11.11.11.2 0.0.0.0 
  network 11.11.12.2 0.0.0.0 
#
ip route-static 192.168.9.0 255.255.255.0 11.11.11.1
ip route-static 192.168.19.0 255.255.255.0 11.11.11.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  路由器R2:

[V200R003C00]
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 11.11.13.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 172.16.2.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 
#
ospf 1 router-id 3.3.3.3 
 import-route static
 area 0.0.0.0 
  network 3.3.3.3 0.0.0.0 
  network 11.11.13.2 0.0.0.0 
  network 11.11.14.2 0.0.0.0 
#
ip route-static 192.168.9.0 255.255.255.0 11.11.13.1
ip route-static 192.168.19.0 255.255.255.0 11.11.13.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  通过流策略还可以做很多其他的事情,比如限制协议、限制私密访问、限制端口、隔离特殊应用等等,这些在特殊条件下可以根据需要可以使用流策略来完成。

dawn
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为交换机访问控制策略
weixin_33884611的博客
09-20 4248
实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1,在LSW1做访问策略,拓扑如下:PC1:10.0.80.254; PC2:10.0.89.254; PC3:10.0.87.254; PC4:10.0.88.254;Traffic-filteracl 3000rule 87 deny ip source 10.0.80.0 0.0.0.255...
华为交换机vlan配置举例_华为交换机Vlan间访问控制配置案例
weixin_39693662的博客
12-24 1716
华为交换机Vlan间访问控制配置案例华为交换机ACL/QOS调用ACL配置案例1 ACL概述随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。ACL 通过一...
华为eNSP ACL访问控制列表 实验
weixin_74452917的博客
04-28 1651
如果明确说做在哪里,按要求,没有说明,就靠近目标网段。服务,同时允许财务部向销售部和研发部提供。步骤三:配置网络互通(静态路由、步骤三:配置网络互通(静态路由、靠近目标网段接口,出方向。步骤二:配置路由器各接口。宣告各自路由器连接的网段。步骤二:配置路由器各接口。宣告各自路由器连接的网段。限制销售部访问财务部。禁止销售部访问财务部。
ensp关于ACL实验的基本概念和操作
最新发布
2301_82106265的博客
06-19 554
访问控制列表(Access Control List,简称ACL)是网络设备中用于控制数据包进出的一种重要工具。本文将详细介绍ACL的理论基础、类型、配置方法以及在实际网络环境中的应用。
策略路由ensp
qq_57196266的博客
03-15 721
策略路由 是traffic的policy,classifier,behavior与ACL的搭配应用
华为模拟器eNSP防火墙向导配置
末初的CSDN博客
05-18 3351
按照下图配置即可: 配置完成后,只需要在R1上在做一条指向防火墙的缺省路由即可 R1: sys sysname R1 ip route-static 0.0.0.0 0 192.168.0.1 dis ip routing-table 华为防火墙USG6000V1的向导配置,主要是以下这几点 区域规划 接口ip地址 指向运营商的缺省路由 基于源地址转换的NAT 将默认的安全策略改为放行 区域规划以及接口IP地址防火墙区域和地址规划实验已经讲了这就不重复了 缺省路由配置 终端配置 FW.
华为交换机Vlan间访问控制配置案例整理.pdf
11-14
华为交换机Vlan间访问控制配置案例整理.pdf
eNSP组网--实验教程.pdf
05-25
计算机网络里面的一个很重要的内容就是ipv4地址的划分,我用eNSP仿真器实现了两个网络的互联,其中涉及到了路由器的地址分配还有静态路由的配置,主机的地址分配就随性很多了,重要的是学会子网划分,本教程...
新版华为模拟器eNSP-Lite-V002R022C10SPC100-Software
05-13
新版华为模拟器eNSP-Lite_V002R022C10SPC100_Software eNSP Lite V002R022C10SPC100 产品文档 eNSP-Lite_V002R022C10SPC100_Software_X8664_release.tar eNSP-Lite_V002R022C10SPC100_Software_X8664_release.qcow2
华为eNSP拓扑综合实验-HCIA综合
11-01
华为eNSP拓扑综合实验-HCIA综合】 华为eNSP(Enterprise Network Simulation Platform)是一款强大的网络仿真工具,广泛用于模拟和测试各种网络环境,尤其在华为认证的学习和考试中扮演着重要角色。本实验是针对...
华为模拟器eNSP练习题-RIP
01-04
在IT领域,华为eNSP(Enterprise Network Simulation Platform)是一款强大的网络仿真工具,它允许用户在虚拟环境中构建和测试网络配置,以便学习和验证网络技术。本实验主要围绕着RIP(Routing Information ...
策略路由配置实例很详细
10-20
要求:网通的用户5.5.5.X 访问1.1.1.1 走网通(R2) 电信的用户55.55.55.X 访问1.1.1.1 走电信(R4) 只能在R3上做配置
华为配置策略路由
11-03
华为防火墙做策略路由,需要的同学可以前来下载哦
华为ensp sr-mpls be配置
03-29
**标题解析:** "华为ensp sr-mpls be配置" 指的是使用华为网络模拟器(ENSP)进行SR-MPLS(Segment Routing over MPLS,基于段路由的多协议标签交换)的基本路径(BE,Basic Engine)配置。SR-MPLS是一种现代的网络...
路由 策略
Suexiao7的博客
02-10 1129
ensp--路由策略实验
华为交换机Vlan间访问控制配置案例
weixin_34075551的博客
04-05 2495
华为交换机Vlan间访问控制配置案例 华为交换机ACL/QOS调用ACL配置案例 1 ACL概述 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。 通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。 ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和...
ACL访问控制(华为)
Jian Sun_的博客
07-30 9495
一、ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址...
配置基本的访问控制列表ACL【eNSP实现】
Infinity_and_beyond的博客
04-30 3793
访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据报的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝 基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999 一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则则有一个Rule-ID。Rule-ID
ACL访问控制列表华为eNSP
611 - 菜鸟运维逆袭架构师之路
04-02 1875
实验一:<ACL访问控制列表基本> 实验工具:ENSP 第一步:如下图拓扑 第二步:配置PC的IP地址 第三步:配置路由器接口IP地址 /* 配置路由器0/0/0、0/0/1接口 */ 第四步:测试网络连通性 <全部可达> 使用-t命令使其一直建立连接 第五步:进入路由器配置ACL /*创建一个基本的ACL */ /*拒绝来源为192.168.1.1的主机 */ 第六步:进入接口应用ACL至0/0/0接口 第七步:检查PC直接通信 /*PC1已不能通信
华为ensp组网实例
10-05
华为企业网络模拟平台(ENSP)是华为公司开发的一款网络设备模拟软件,用于帮助用户进行网络设备的组网实例。通过ENSP,用户可以模拟并配置华为设备,进行网络拓扑的搭建和各种网络应用的测试。 用户可以使用ENSP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值