ensp ACL访问控制列表配置

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全

-----------来源百度百科

ACL的分类

基本ACL(2000-2999)根据源地址来进行访问控制
高级ACL(3000-3999)可以根据源地址、目标地址、源端口号等来进行访问控制

基本ACL的配置

注:我们在不管在配置什么ACL的时候,需先保证全网互通,然后在根据需要来进行设置ACL访问控制

网络结构拓扑图
在这里插入图片描述

全网互通配置

AR1路由器的配置

[Huawei]sysname AR1            //修改设备名称为AR1
[AR1]int g0/0/2         //进入路由器和内网相连的端口
[AR1-GigabitEthernet0/0/2]ip address 192.168.1.254 24 ```
 //将这个端口的IP地址设置为内网主机的网关IP地址
[AR1]int g0/0/0       //进入路由器与路由相连的端口
[AR1-GigabitEthernet0/0/0]ip address 10.1.1.1 24
[AR1]ip route-static 192.168.2.0 24 10.1.1.2  //配置静态路由往另一个网段

AR2路由器的配置

[Huawei]sysname AR2     //设备更名
[AR2]int g0/0/1     
[AR2-GigabitEthernet0/0/1]ip address 192.168.2.254 24   //配置IP地址为内部主机的网关IP地址
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip address 10.1.1.2 24   
[AR2]ip route-static 192.168.1.0 24 10.1.1.1   //配置静态路由

连通测试
在这里插入图片描述

基本ACL的配置

要求:访问控制在AR2上进行,192.168.1.1的主机不能够和192.168.2.1通信,192.168.1.2可以和192.168.2.1通信

AR2上的配置

[AR2]acl 2001    //创建基本ACL
[AR2-acl-basic-2001]rule deny source 192.168.1.1 0  //设置ACL的规则为拒绝源地为192.168.1.1的主机通过
[AR2]int g0/0/1     //进入路由器和内部主机连接的端口
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001   //将ACL2001应用于这个端口上  
注:source 后面地址的写法
1.网段写法(192.168.1.0  0.0.0.255 )子网掩码必须这样写才能够识别为192.168.1.0网段,否则就识别为192.0.0.0网段,其他段的写法也是如此
2.单个IP地址的写法(192.168.1.1  0 )  写一个IP地址,在后面加个0即可

Inbound和outbound的区别:
1.inbound就是数据包进入路由,可以在端口设置拒绝或者允许数据包经过
2.outbound就是数据包已经存在于路由器当中,现在想从路由器中出去,我们可以在端口设置拒绝或者允许数据包从路由器中出去

验证测试
PC1 ping PC3
在这里插入图片描述
PC2 ping PC3
在这里插入图片描述

高级ACL的配置

要求:(全部访问控制均在AR2上完成)
1. AR2 配置Telnet远程登录,在外部真实的win7上不能够远程登录
2.client1 客户端 不能够ping通 server1 ,但是可以访问server的网页

网络结构拓扑图
(基于上面的那个图做了一些修改,基本的IP地址配置以及路由是一样的)
在这里插入图片描述

AR2路由器配置Telnet服务器

[AR2]user-interface vty 0 4  //配置有多少个用户可以同时登录到Telnet服务端
[AR2-ui-vty0-4]authentication-mode aaa   //验证方式设置为aaa验证
[AR2]aaa      //进入aaa视图
[AR2-aaa]local-user jiangwang password cipher 123 privilege level 3    //设置登录的用户名以及密码,然后在设置这个用户对设备的操作级别 
Info: Add a new user.
[AR2-aaa]local-user jiangwang service-type telnet    //将这个用户应用于Telnet远程登录

登录验证
在win7 的客户端输入 Telnet+路由器的IP地址 即可进入登录界面
在这里插入图片描述
AR2上配置ACL访问控制
要求让win7客户端不能够远程登录AR2路由器

[AR2]acl 3001           //配置高级ACL 
[AR2-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 10.1.1.2 0 destination-port eq telnet 
注:Telnet 是基于tcp的23号端口的,这个代码意思是拒绝192.168.1.10的主机使用远程登录连接到10.1.1.2 
[AR2]int g0/0/0    //进入路由器和路由器相连的端口
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl  3001    //将端口设置为拒绝数据包进入路由器
注:和端口做对比  如等于23 等等
eq   等于
gt   大于
lt   小于
range  两者之间

验证测试
在这里插入图片描述

client访问server网页配置

要求:client可以访问到server网页,但是不能够和server建立通信
client 正常情况下连通测试server
在这里插入图片描述
配置ACL

[AR2]acl 3002    //配置高级ACL
[AR2-acl-adv-3002]rule deny icmp source 192.168.1.20 0 destination 192.168.2.10 0   //设置ACL拒绝源地址为1.20的icmp包访问2.10
[AR2]int g0/0/1    //进入路由器和内网相连的端口
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 3002  //将端口应用于ACL 3002 

配置server服务器
在这里插入图片描述
client访问测试
连通测试失败
在这里插入图片描述
访问网页
在这里插入图片描述

以上就是 ensp ACL访问控制列表的配置,如有错误,还望指出

©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页