eNSP学习——配置基本的访问控制列表

最新推荐文章于 2025-03-27 21:39:26 发布
最新推荐文章于 2025-03-27 21:39:26 发布
阅读量1.6k 收藏 22
点赞数 39
分类专栏: 华为 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55908180/article/details/139578994
版权
本文档详细介绍了如何在eNSP环境中配置基本的访问控制列表(ACL)。通过实例演示了从基本配置、搭建OSPF网络到设置ACL以限制网络访问的过程,强调了ACL的顺序匹配原则及其在网络安全中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

主要命令

原理概述

实验目的

实验内容

实验拓扑

实验编址

实验步骤

1、基本配置

2、搭建OSPF网络

3、配置基本ACL控制访问

4、基本ACL的语法规则

需要eNSP各种配置命令的点击链接自取:华为eNSP各种设备配置命令大全PDF版_ensp配置命令大全资源-CSDN文库

主要命令

//查看设备上所有的访问控制列表
display acl all

//创建一个编号型ACL
[R4]acl 2000

//指定规则ID为5,允许数据包源地址为1.1.1.1的报文通过,反掩码为全0,即精确匹配
[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0

//指定规则ID为10,拒绝任意源地址的数据包通过
[R4-acl-basic-2000]rule 10 deny source any

//在VTY中调用,使用inbound参数表示在数据入方向调用
[R4]user-interface vty 0 4	
[R4-ui-vty0-4]acl 2000 inbound

原理概述

        访问控制列表ACL (Access Control List〉是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。

        按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源P地址、时间段信息来定义规则,编号范围为2000~2999

        一个ACL可以由多条“deny/permit”语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID。Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配。

实验目的

理解基本访问控制列表的应用场景

掌握配置基本访问控制列表的方法

实验内容

        本实验模拟企业网络环境,R1为分支机构A管理员所在IT部门的网关,R2为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备。整网运行OSPF 协议,并在区域0内。企业设计通过远程方式管理核心网路由器R4,要求只能由R1所连的PC(本实验使用环回接口模拟)访问R4,其他设备均不能访问。

实验拓扑

实验编址

设备

接口

IP地址

子网掩码

默认网关

R1(AR2220)

GE 0/0/0
最低0.47元/天 解锁文章
ACL配置
煮酒闲谈
06-08 1030
ACL配置 实验目的通过本实验,可以掌握以下技能: 配置接口IP地址。 配置访问控制列表。 验证访问控制列表配置。 设备需求 Cisco路由器3台,分别命名为R1、R2和R3。 1台access server。 1台PC机。拓扑结构及配置说明 学院出口路由器R2与学校路由器R3之间通过串口连接。学校服务器上有各种服务,比如WWW、FTP、TELNET等。现为了网络安全,仅允许学院PC机访问学校服
eNSP学习——配置前缀列表
TXFBAP的博客
06-11 1536
理解前缀列表的应用场景 掌握前缀列表的配置方法 理解前缀列表与ACL的区别
超详细如何配置ACL
热门推荐
晚风挽着浮云的博客
11-24 1万+
配置基本访问控制列表 原理概述: 访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。 按照访问控制列表的用途,可以分为基本访问控制列表和高级的访问控制列表基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为20...
eNSP实验——ACL访问控制列表
最新发布
记录
03-27 1336
ACL(Access Control List)是网络设备(路由器/交换机/防火墙)上用于控制数据流进出的规则集合,类似于ACL就像网络设备的"守门员",通过定义决定哪些数据可以进出(允许Permit),哪些不能(拒绝Deny)规则,实现网络安全管控。
ACL的配置
Ljw3187136228的博客
06-14 2892
一、引言随着网络技术的不断发展,网络安全问题日益突出。在网络通信中,访问控制列表(Access Control List,简称ACL)作为一种重要的安全机制,被广泛应用于路由器、交换机、防火墙等网络设备中,用于控制数据包的访问权限,确保网络通信的安全性和可靠性。本文将对ACL的配置进行详细介绍,包括ACL的基本原理、分类、配置方法、应用原则及注意事项等方面,旨在为读者提供一份全面、深入的ACL配置指南。二、ACL概述ACL是一种网络安全技术,用于控制数据包的访问权限。
配置ACL
weixin_64444995的博客
04-13 5502
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。
华为ENSP——ACL访问控制列表
u014042047的博客
08-01 8824
文章目录一、实验步骤1.1 实验拓扑图1.2 需求及分析:1.3 实验详细步骤及配置: 一、实验步骤 1.1 实验拓扑图 1.2 需求及分析: 需求 1、实现全网互通 2、设置标准访问控制列表,使VLAN10与VLAN20不能通信 3、配置扩展访问控制列表,使AR1不能访问ftp服务器,但其他流量不受影响 实验分析: 1、实现全网互通: 要实现全网互通就应该对SW1、AR1、AR3进行正确配置,第一步要在SW1中创建VLAN10与20,并分别将E0/0/1至0/0/4接口设置为access口,g0
ACL访问控制列表——华为ensp
weixin_47153988的博客
07-29 3195
文章目录一、访问控制列表概述二、访问控制列表的功能三、访问控制列表的工作原理四、访问控制列表的类型五、ACL访问控制列表实验5.1 实验拓扑及要求5.2 实验配置流程 一、访问控制列表概述 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 二、访问控制列表的功能 限制网络流量、提高网络性能。例如,ACL可以根据数
小白学习eNSP华为模拟器(15)VRRP 虚拟路由器冗余协议 配置基本访问控制列表
qq_46112068的博客
05-10 919
大家好! 我叫风清云淡,有句话说“相识是缘”,我也希望多多认识一些志同道和的朋友。作为一名互联网行业的小萌新,写博客一方面是为了记录自己的学习过程,另一方面是总结自己所犯的错误希望能够帮助到很多和自己一样处于起步阶段的萌新。但由于其专业水平有限????,博客中难免会有一些bug出现,有错误之处还请各位大佬多多赐教! 由于现在越来越多的人未经本人同意直接爬取博主本人文章,博主在此特别声明:未经本人允许,禁止转载!!! 文章目录实验十九 VRRPR2故障恢复 实验十九 VRRP [Huawei]sy R1
ACL的基本配置
lwljh134的博客
08-27 6270
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问。华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作。
简单的ACL配置
MA463841740的博客
03-12 681
hcia,简单的acl配置
eNSP学习——配置高级的访问控制列表
TXFBAP的博客
06-11 1866
理解高级访问控制列表的应用场景 掌握配置高级访问控制列表的方法 理解高级访问控制列表基本访问控制列表的区别
ACL基本配置
飘雪冰峰的博客
05-28 6118
ACL 基本配置 OSPF 配置 这里以 R3 为例,展示 ospf 的配置。 在 AR3260 系列路由器中,可以正常配置 # R3 IP配置 <Huawei>system-view [Huawei]sysname R3 [R3]q <R3>undo terminal monitor # 屏蔽 terminal 端的打印信息 Info: Current terminal monitor is off. <R3> <R3>system-view En
acl配置
安静的一个人
07-18 4243
1 配置 基本acl配置案例 配置基本acl步骤 配置规则生效时间段 执行命令system-view,进入系统视图。 执行命令time-rangetime-name{start-timetoend-time{days} &<1-7> |fromtime1date1[totime2date2] },创建一个时间段。 创建基本ACL 执行命令acl{ [n...
ensp 交换机acl配置命令
12-29
### ENSP 交换机 ACL 配置命令示例 在华为ENSP模拟环境中配置ACL(访问控制列表),可以实现基于不同条件的数据流过滤功能。对于标准ACL,主要依据源IP地址来决定数据包是否通过;而扩展ACL则提供了更精细的控制选项,能够根据源IP地址、目的IP地址、协议类型以及端口号码等多个参数进行流量筛选[^2]。 #### 创建并应用标准ACL 为了创建一条允许特定子网内主机发送的所有TCP报文进入网络的标准ACL规则,在全局模式下输入如下指令: ```shell [Huawei] acl number 2000 [Huawei-acl-basic-2000] rule permit tcp source 192.168.1.0 0.0.0.255 ``` 这里`acl number 2000`定义了一个编号为2000的标准ACL实例,其中`rule permit tcp source 192.168.1.0 0.0.0.255`表示该条目用于匹配来自192.168.1.x这个C类私有IPv4地址段发起的所有TCP连接请求,并给予放行处理[^3]。 #### 扩展ACL的应用场景 当需要更加严格地管理进出某台服务器的数据通信时,则可采用扩展ACL来进行多维度的安全策略设定。下面的例子展示了如何阻止外部网络中的任意一台计算机向内部Web服务端口80发起HTTP GET请求的同时又不影响其他正常业务往来: ```shell [Huawei] acl number 3000 [Huawei-acl-adv-3000] rule deny tcp any destination 172.16.10.10 0 eq www [Huawei-acl-adv-3000] rule permit ip any any ``` 上述脚本里先声明了一组ID号设为3000的新建高级ACL对象,接着利用两条独立却相互补充的规定实现了对外部攻击的有效防御——第一条语句明确拒绝了所有试图抵达位于局域网内的web server(假设其固定公网映射后的外网可见IP为172.16.10.10)上的httpd进程监听着的那个知名tcp端口的服务尝试;第二句话则是开放其余一切合法交互行为不受此限令约束。 #### 时间范围设置 如果希望某些ACL规则只在工作日的工作时间内生效,可以在相应的时间范围内指定这些规则的应用时段。例如,要使某个ACL仅在周一至周五上午八点到下午五点之间有效,可以通过以下方式完成配置: ```shell [Huawei] time-range work_hours [Huawei-time-range-work_hours] periodic weekday 08:00 to 17:00 [Huawei-time-range-work_hours] quit [Huawei]interface GigabitEthernet0/0/1 [Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 time-range work_hours ``` 这段代码片段首先建立了名为work_hours的时间区间描述符,指定了每日重复发生的一段时间间隔作为活动窗口;随后将其绑定到了具体的物理接口GE0/0/1之上,确保只有在这个预设周期之内才会对该链路上经过的数据实施由ACL 3000所规定的审查机制[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值