如何在H3C路由器使用ACL来管理网络安全

最新推荐文章于 2023-06-07 09:04:40 发布
最新推荐文章于 2023-06-07 09:04:40 发布
阅读量5.9k 收藏 17
点赞数 1
分类专栏: 网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/omage/article/details/120142430
版权

ACL ( Access Control List) 访问控制列表,顾名思义,用于控制访问用的,和我们在window里使用防火墙规则是一个意思。

第一步要先定义ACL规则, H3C路由器有三种规则,基本规则,高级规则,二层规则,一般情况使用高级规则就能解决我们大部分场景,这里就着重介绍高级规则。高级规则的编号在H3C路由器里是3000~3999之间。

示例:下面的规则依次表示允许源地址为192.168.1.0网段的IP包,拒绝目标地址为192.168.2.0网段的IP包,最后denly ip表示拒绝所有IP包。

#
acl advanced 3000
 rule 1 permit ip source 192.168.1.0 0.0.0.255
 rule 2 deny ip destination 192.168.2.0 0.0.0.255
 rule 100 deny ip

这个规则建立后,需要指定应用在哪个接口或VLAN,并且需要指定方向: inbound 还是 outbound

关于inbound 和 outbound的区别可以看看这个博客文章,写的很清楚。

https://blog.csdn.net/flyhorstar/article/details/80912272?utm_source=po_vip

简单的说, inbound表示客户端的IP包进入到这个接口或VLAN,   outbound表示IP包从这个接口或VLAN流出来。

以下示例表示如何应用ACL规则, vlan1应用了两个ACL规则, 3002应用在inbound方向,3000应用在出的方向。

#
interface Vlan-interface1
 ip address 192.168.2.1 255.255.255.0
 packet-filter 3002 inbound
 packet-filter 3000 outbound
#
interface Vlan-interface2
 ip address 192.168.3.1 255.255.255.0
 packet-filter 3001 inbound
#

示例:定义如下规则,并应用到outbound方向

#
acl advanced 3000
 rule 1 permit icmp icmp-type echo-reply
 rule 2 permit udp source-port eq dns
 rule 3 permit tcp source-port eq dns
 rule 4 permit tcp source-port eq www
 rule 5 permit tcp source-port eq 443
 rule 6 permit tcp source-port eq smtp
 rule 7 permit tcp source-port eq 465
 rule 8 permit tcp destination-port range www 88
 rule 100 deny ip

rule 1表示允许被ping的机器回来的包通过 

rule 2,3表示允许dns协议服务器的响应包通过

rule 4,5表示允许web服务器的响应包通过

rule 6,7表示允许邮件服务器的响应包通过

rule 8 表示允许目标端口在80~88访问的tcp包通过


 

omage
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACL技术
weixin_63806043的博客
04-16 78
2、高级ACL3000-3999 Advanced access-list 精确匹配,数据五元组(源IP、目标IP地址、协议、1、基本ACL:2000-2999 Basic access-list 只关心数据的源地址。1、数据包到达接口后,会被检查,是否设置了ACL规则,如果设置了,就按ACL规则执行,如果。3、所有规则都不匹配,则执行默认动作,默认允许则允许,默认拒绝则丢弃。3、二层ACL:4000-4999 源MAC、目标MAC地址、协议。5、命名的ACL :name。4、基于IPv6的ACL
手把手教你玩转CSDN博客!!
最新发布
2302_80728797的博客
06-09 3738
CSDN博客是一个宝贵的资源,可以帮助你学习编程思路、技巧,并通过阅读和分析代码示例来提高编程能力。通过不断地学习和实践,你将能够在编程之路上越走越远,为IT行业的发展做出贡献。记得在CSDN博客上分享你的学习心得和代码示例,以帮助和启发其他开发者。
H3C--ACL配置实践
mr__sheng的博客
12-26 9740
实验目的: 1.掌握ACL的工作原理; 2.会基本ACL的配置; 3.会高级ACL的配置。 实验任务与要求: 1.按照图示配置各个网段的 IP 地址。 2.按照图示采用RIPv2路由协议,实现全网互通。 3.在服务器上配置开启 TELNET 和 FTP 服务。 4.配置 ACL 实现如下效果 (1)采用基本的ACL,让192.168.1.0不能访问192.168.2.0。 (2)采用高级ACL,PC1 可以访问服务器的TELNET服务,但不能访问 FTP 服务。PC2 可.
H3C防火墙应用
weixin_34327761的博客
01-21 411
1、H3C secPath F1000-A-E1防火墙:支持外部***防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。安全区域优先级:非受信区(untrust): 5非军事化区(dmz): 50受信区(trust): 85本地区域(local): 100管理区域(manage): 1002、ipsec ***的配置:实现两个内网互访①配置访问控制列表,匹配保护的数据...
H3C配置ACL
一份耕耘,一分收获
03-04 1万+
包含ACL基本简介,H3CACL配置命令以及配置实例
H3C ACL规则的匹配顺序
weixin_30603633的博客
07-10 1396
转载于:https://www.cnblogs.com/fanweisheng/p/11163988.html
H3C_ACL包过滤基础配置案例
04-18
H3C网络设备中,访问控制列表(ACL)是一种重要的网络安全和流量管理工具,用于定义网络流量的过滤规则。本文档将详细讲解一个基于H3C设备的ACL包过滤基础配置案例,适用于H3CV7版本的交换机和路由器,特别是对于...
H3C路由器典型配置指导 .rar
10-05
第1章 H3C路由器系列产品介绍 第2章 基本配置指导 第3章 接口配置指导 第4章 广域网接入配置指导 第5章 IP业务配置指导 第6章 IP路由配置指导 第7章 IP组播配置指导 第8章 IPv6配置指导 第9章 MPLS配置指导 第10章 ...
H3C路由器and交换机配置手册(CHM电子书)
01-29
H3C路由器and交换机配置手册》是一本详尽阐述H3C网络设备配置的CHM电子书,特别适合需要快速查找和学习H3C路由器及交换机配置的IT专业人员。CHM(Compiled HTML Help)格式允许用户通过内置的搜索引擎轻松查找所需...
H3C《VSR虚拟路由器培训》培训视频.rar
08-01
H3C VSR是H3C公司推出的一种网络虚拟化解决方案,它允许在网络中创建多个独立的虚拟路由器实例,每个实例可以拥有自己的路由表、策略和安全设置,从而实现网络资源的高效管理和隔离。这种技术特别适用于云计算环境和...
H3C路由防止网络攻击的方法介绍
10-02
网络安全日益重要的今天,H3C路由器作为网络设备的核心,提供了多种防止网络攻击的方法,特别是针对DDoS(Distributed Denial of Service)攻击。DDoS攻击通常通过大量伪造的网络请求淹没目标网络或服务器,导致...
h3c交换机基本ACL配置
热门推荐
王达专栏
04-26 2万+
以下内容摘自笔者2009年度巨作,获得多项大奖,并且已成功重印的图书《Cisco/H3C交换机配置与管理完全手册》.19.2.2 基本ACL配置基本ACL只根据源IP地址信息制定匹配规则,对报文进行相应的分析处理。其序号取值范围为2000~2999。如果要配置带有时间段参数的规则,则需要定义相应的时间段。参见19.2.1节。1.基本ACL的配置方法配置基本ACL的步
acl3000acl2000
Richardlygo的博客
07-24 6566
acl3000acl2000
华为eNSP实验3、acl访问控制列表
hg515215563的博客
11-12 7503
3、acl访问控制列表: acl访问控制列表主要分为3类: 1、基本访问控制列表(2000-2999)只能针对source ip地址进行限制 2、告警访问控制列表(3000-3999)可以针对源ip、目的ip、源端口、目的端口进行限制 3、二层访问控制列表(4000-4999)可以针对二层数据帧进行控制。 本文主要进行基本访问控制列表及告警访问控制列表的实验。 实验拓扑如下: 路由器AR1 接口...
acl规则的配置
m0_66431375的博客
03-30 2365
技术背景:需要一个工具实现流量过滤 使用eNSP搭建一个实验环境拓扑图如下 需求如下: 需求1:先使PC1/PC2,Server1/Server2能互相通信 需求2:使PC1不能访问Server1/Server2,但能访问PC2 需求3:使PC2可以访问Server2,不能访问Server1 配置思路是首先需要让设备之间能互相通信配置PC1/PC2,Server1/Server2,IP/掩码/网关。配置路由器接口地址,配置静态路由。 <AR2>system-view [AR2]in
NewH3C——ACL
qq_44859533的博客
02-13 8266
一、ACL概念 1、acl定义: 访问控制列表;用于数据流的匹配和筛选 2、功能: 访问控制:ACL+Packet-filter 路由控制:ACL+Route-policy 流量控制:ACL+QOS 二、ACL的包过滤 1、定义: 对进出的数据包逐包检查,丢弃或允许通过(华三设备默认是允许) 注意:包过滤必须配置在接口的某个方向上才能生效;一个接口的一个方向只能配置一个包过滤策略 2、包过滤的方向 入方向(inbount): 只对从外部进入的数据包做过滤 出方向(outbount):只对从内部发出的
H3C 路由器中VLAN隔离
weixin_44284725的博客
10-31 2927
ACL可以这样写: acl number 3002 rule 5 permit ip source 192.168.33.0 0.0.0.255 destination 192.168.142.106 0 rule 10 deny ip source 192.168.33.0 0.0.0.255 destination 192.168.142.0 0.0.0.255 rule 15 permit ...
ACL原理与配置
GUARDIAN_L的博客
06-07 1857
ACL原理与配置
h3c路由器配置教程
11-07
H3C路由器配置教程如下: 1. 进入路由器的命令行界面,输入用户名和密码进行登录。 2. 配置路由器的基本信息,包括主机名、域名、管理口IP地址等。 例如:[H3C]sysname Router1 [Router1]interface GigabitEthernet 0/0/0 [Router1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 3. 配置路由器的路由功能,包括静态路由和动态路由。 静态路由配置示例: 添加缺省路由:[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 添加网络路由:[H3C]ip route-static 192.168.1.0 255.255.255.0 192.168.0.1 动态路由配置示例: 启用OSPF协议:[H3C]ospf 配置OSPF区域:[H3C-ospf-1]area 0 配置OSPF接口:[H3C-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 4. 配置路由器的安全功能,包括访问控制、防火墙等。 访问控制配置示例: 创建ACL规则:[H3C]acl number 2000 [H3C-acl-adv-2000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 应用ACL规则:[H3C]interface GigabitEthernet 0/0/0 [H3C-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 防火墙配置示例: 创建防火墙策略:[H3C]firewall policy 1 [H3C-firewall-policy-1]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 应用防火墙策略:[H3C]interface GigabitEthernet 0/0/0 [H3C-GigabitEthernet0/0/0]firewall packet-filter 1 inbound 5. 配置路由器的其他功能,包括NAT、***nat address-group 1 192.168.1.2 192.168.1.10 配置NAT规则:[H3C]acl number 3000 [H3C-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 [H3C-acl-adv-3000]rule deny ip [H3C]nat outbound 3000 address-group 1 6. 保存配置并退出命令行界面。 保存配置:[H3C]save 退出界面:[H3C]quit
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值