基于eNSP的ACL配置实验

已于 2022-11-27 10:43:37 修改
阅读量1w 收藏 185
点赞数 20
文章标签: 网络
于 2022-11-01 20:14:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57268869/article/details/127634698
版权

目录

一、实验目的

二、实验设备

 三、实验内容

四、实验步骤

1.组网

 (1)搭建环境

(2)设置各主机IP地址

(3) 配置各网段的网关地址

2.配置路由器的相关设置

(1)配置路由器的端口地址

(2)配置网络路由

3.配置ACL命令

(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。

(2)禁止192.168.1.10主机访问192.168.2.0/24网段,使用ping测试。

(3)禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。(ping+服务器访问页面测试)

(4)禁止任何网段ping测试192.168.3.0网段。

(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。

(6)仅允许192.168.4.10主机远程登录(telnet)192.168.6.20主机,只配置,不需要测试。

(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389)192.168.6.20主机,只配置,不需要测试。

一、实验目的

1. 掌握ACL的分类及作用;

2. 掌握ACL的配置方法;

二、实验设备

路由器:AR2240×3

交换机:S5700×2

终端:PC×6、Clinet×1、Server×1

 三、实验内容

图1.1 实验拓扑图

完成上图拓扑 

tips:在AR1中,默认只有3个端口,系统提示:“无可用端口!”时,右键“AR1”→设置→将“4GEW-T”拖动到指定位置

效果如下:

现在需求如下:

(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。

(2)禁止192.168.1.10主机访问192.168.2.0/24网段,使用ping测试。

(3)禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。(ping+服务器访问页面测试)

(4)禁止任何网段ping测试192.168.3.0网段。

(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。

(6)仅允许192.168.4.10主机远程登录(telnet)192.168.6.20主机,只配置,不需要测试。

(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389)192.168.6.20主机,只配置,不需要测试。

四、实验步骤

1.组网

 (1)搭建环境

按照如图1.1所示搭建实验环境,并将设备启动。

(2)设置各主机IP地址

PC1配置情况如下图所示,其余PC的IP地址为该网段的可用地址即可。

 

(3) 配置各网段的网关地址

网关地址都设置为所在网段可用地址的第一个

即:x.x.x.1

 

2.配置路由器的相关设置

(1)配置路由器的端口地址

配置AR1:

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.1 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.1 24
[AR1-GigabitEthernet0/0/2]int g6/0/0
[AR1-GigabitEthernet6/0/0]ip add 192.168.12.1 24

AR2、AR3如下图:

(2)配置网络路由

使得各网段能够互通(静态路由、动态路由均可)

这里配置的是通过ospf协议配置动态路由

配置AR1

[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255

 

测试:抓图验证各网段是否能够互通。

pc1 ping pc2 通

pc1 ping pc3 通

pc1 ping pc4 通

pc1 ping pc5 通

pc1 ping pc6通

3.配置ACL命令

根据实验需求,配置相应的ACL命令,要求在实验报告中写出配置命令,并通过抓图验证。

(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。

在AR3上配置acl 2000

[AR3]acl 2000
[AR3-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 
[AR3-acl-basic-2000]int g0/0/1
[AR3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

从192.168.1.10的pc1 ping 192.168.5.10  由图3.1可知,配置acl后ping不通,证明acl配置成功

图3.1

(2)禁止192.168.1.10主机访问192.168.2.0/24网段,使用ping测试。

在AR1配置acl 2000

[AR1]acl 2000

[AR1-acl-basic-2000]rule deny source 192.168.1.10 0.0.0.0
[AR1-acl-basic-2000]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

用192.168.1.10的pc1 ping 192.168.2.10 由图3.2可知,配置acl后ping不同,证明acl配置成功

图 3.2

(3)禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。(ping+服务器访问页面测试)

配置acl指令前,先进行测试

①启动server1的http服务

图 3.3.1

 ②在client1中ping192.168.6.20 可以ping通

图 3.3.2

③由图3.3.3可知服务器网页测试正常

图 3.3.3

④在AR1上配置acl 3000

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny tcp source 192.168.1.20 0.0.0.0 destination 192.168.
6.20 0.0.0.0 destination-port eq www
[AR1-acl-adv-3000]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 

⑤ 由图3.3.4可知,ping不通

    由图3.3.5可知,网页服务异常,证明acl配置成功

图 3.3.4
图 3.3.5

(4)禁止任何网段ping测试192.168.3.0网段。

在AR1上配置acl 3001

[AR1]acl 3001
[AR1-acl-adv-3001]rule deny icmp source any destination 192.168.3.0 0.0.0.255
[AR1-acl-adv-3001]int g0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 3001

 由图3.4.1、3.4.2、可知任何网段都无法用ping测试192.168.3.10,证明acl配置成功

图 3.4.1
图 3.4.2

(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。

在AR2上配置acl 2000

[AR2]acl 2000
[AR2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[AR2-acl-basic-2000]rule deny source any
[AR2-acl-basic-2000]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

由图3.5.1可知,192.168.2.10的pc2可以ping通192.168.4.10

图3.5.2、3.5.3可知,其他网段的pc ping不通192.168.4.10,证明acl配置成功 

图 3.5.1
图 3.5.2
 
图 3.5.3

(6)仅允许192.168.4.10主机远程登录(telnet)192.168.6.20主机,只配置,不需要测试。

在AR2上配置acl 3000

[AR2]acl 3000
[AR2-acl-adv-3000]rule permit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.20 0.0.0.0 destination-port eq 23
[AR2-acl-adv-3000]rule deny tcp source any destination 192.168.6.20 0.0.0.0 destination-port eq 23
[AR2-acl-adv-3000]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389)192.168.6.20主机,只配置,不需要测试。

在AR2上查看配置

[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/1        outbound   acl 2000
GigabitEthernet0/0/1        inbound    acl 3000
-----------------------------------------------------------

 可知在g0/0/1的入方向已经有acl 3000 ,一个端口一个方向只能配置一个acl,所以需要将acl 3000执行 undo命令

[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]undo traffic-filter inbound

 在AR2上配置acl 3001

[AR2]acl 3001
[AR2-acl-adv-3001]rule permit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.20 0.0.0.0 destination-port eq 3389
[AR2-acl-adv-3001]rule deny tcp source any destination 19.168.6.20 0.0.0.0 destination-port eq 3389
[AR2-acl-adv-3001]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl 3001

eNSp中的ACL实验
weixin_49252364的博客
05-24 1808
分析: 第一步:配置静态路由 R2: ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 R1: [r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 [r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23 PC1: ..
ENSP实验配置ACL
omh164052427的博客
12-23 5068
原理:访问控制列表(ACL)是一种基于包过滤的网络控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用的路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 准备:2台服务器,2台客户端,2台交换机,1台路由 先划分好网段,配置好服务器,客户端的网址,我们的实验目标是,让财务客户端能访问web,不能访问ftp,让市场可以访问ftp,不能访问web,所以,我们开启对应的服务(注意:只需开启对应服务,如ftp服务器只
实验:华为ACL配置
Baozijiaruqin的博客
07-11 3149
ACL分为基本ACL和高级ACL。 基本ACL只能基于数据包的源地址、报文分片标记和时间段来定义规则。 高级ACL可以根据数据包的源IP地址、目标IP地址、目标端口、源端口、数据包的长度值来定义规则 ...
eNSP实验——ACL访问控制列表
记录
03-27 1537
ACL(Access Control List)是网络设备(路由器/交换机/防火墙)上用于控制数据流进出的规则集合,类似于ACL就像网络设备的"守门员",通过定义决定哪些数据可以进出(允许Permit),哪些不能(拒绝Deny)规则,实现网络安全管控。
华为ensp配置ACL
热门推荐
2301_77324496的博客
06-21 1万+
基础ACL和高级ACL配置
ACL配置实验
01-30
路由与交换技术实验报告:ACL配置实验。 包括实验目的、实验要求、实验拓扑、具体过程、心得体会等内容。
基于eNSP的三种ACL配置
weixin_72756184的博客
10-11 1697
一:实验目的 掌握ACL的原理以及配置方法 包括: ①基本ACL ②扩展ACL ③时间AC
ensp关于ACL实验的基本概念和操作
2301_82106265的博客
06-19 1020
访问控制列表(Access Control List,简称ACL)是网络设备中用于控制数据包进出的一种重要工具。本文将详细介绍ACL的理论基础、类型、配置方法以及在实际网络环境中的应用。
基于eNSP模拟器的路由器ACL配置
不怕死的假老练
08-05 4814
一、简介 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 二、功能 需要实现流量的控制,匹配感兴趣的流量。 三、分类 根据使用列表的列表号,系统按照表号的不同,分为两类: 1.编号范围2000-2999,基本ACL(标准ACL)。基于源IP地址进行过滤。 2.编号范围3000-3999,高级ACL
基于ensp防火墙双击热备二层网络规划与设计(命令齐全)-参考文章-配置实验命令笔记
07-02
文件中包含了基于ensp防火墙双击热备二层网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(二层架构,核心层、计入层),文件在加入了相应的配套文章连接,并加入了实验的...
第八次实验ACL配置实验.docx
05-17
ACL配置实验
ACL 实验配置
weixin_33836874的博客
02-12 269
真正实用的ACL实验配置,一看就会。 转载于:https://blog.51cto.com/xiaoyu888/61891
ensp——ACL实验
qq_45491497的博客
09-30 1万+
一丶搭建实验环境及基本配置 AR1的IP配置 [AR1]interface g0/0/0 [AR1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 [AR1-GigabitEthernet0/0/0]q [AR1]interface g0/0/1 [AR1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 AR2...
ACL(访问控制列表)配置实验
F2444790591的博客
12-27 2278
一、拓扑图 二、配置命令 1、基础配置 (1)LSW1配置信息 sys vlan b 10 20 30 int e0/0/1 port link-type access port default vlan 10 int e0/0/2 port link-type access port defau...
ENSP ACL配置实验
2401_89662077的博客
01-20 719
PC1 可以telnet登录R1,不能ping 通R1。pc1可以ping 通R2,但不能登录R2。配置好后检查下能否ping通。PC2的所有规则与pc1相反。3. 在接口上调用ACL列表。3.配置Telnet。
华为 eNSP 基本ACL配置实验
想去见见你的博客
07-02 6514
实验目的: 基本拓扑图,如下所示: 根据划分的网段,先进行三台pc机的IP分配 在AR1中部署ACL的相关内容(比较简略,但基本能完成相关配置) sys int g0/0/0 ip add 192.168.1.254 24 int g0/0/1 ip add 200.200.200.254 24 time-range work_time 8:00 to 18:00 daily acl 2000 rule permit source 192.168.1.31 0.0.0.0 time-range wo
enspACL实验
AXDRXS的博客
07-25 2194
ACL分为基础ACL、扩展ACL以及二层ACL,由于本题具体到做什么,则使用扩展ACL,范围为3000-3999,由于ACL主打的就是就近原则,所以在R1的G0/0/1接口上调用,那么只需要写一张表即可。PC1不可以登录R2,可以ping TCP 192.168.1.1 0 192.168.2.2 eq 23。PC2不可以登录R1,可以ping TCP 192.168.1.3 0 192.168.1.1 eq 23。先写拒绝要求,再写允许,华为默认允许所有,不用写。
eNSPACL基础实验
weixin_44508518的博客
07-13 1641
r1有两个环回1.1.1.0/24和1.1.2.0/24,r4有一个环回4.4.4.0/24连接着ISP要求:1.实现1.1.1.1能访问4.4.4.4,1.1.2.1不能访问(基本ACL)2.没有设置acl之前,1.1.1.1可以访问和远程连接4.4.4.4,设置acl,过滤掉1.1.2.1ping4.4.4.4的流量,保留远程连接。3.保留1.1.2.1 ping 4.4.4.4,过滤1.1.2.1 远程连接 4.4.4.4实现1.1.1.1能访问4.4.4.4,1.1.2.1不能访问4.4.4.4设置
enspACL综合实验
最新发布
04-03
### ENSP平台中的ACL配置综合实验 ENSP(Enterprise Network Simulation Platform)是一款由华为开发的企业级网络仿真工具,广泛应用于教学和实际工程环境中。以下是关于ENSP平台上ACL(访问控制列表)配置的相关内容。 #### 一、ACL的基础概念 访问控制列表(Access Control List, ACL)是一种用于过滤数据包的技术,可以根据源地址、目标地址、协议类型等条件决定是否允许数据包通过设备。在ENSP中,可以通过命令行界面(CLI)对路由器或交换机进行ACL配置[^1]。 #### 二、ACL的分类及其应用场景 ACL主要分为标准ACL和扩展ACL两种类型: - **标准ACL**:仅能匹配源IP地址,适用于简单的流量过滤需求。 - **扩展ACL**:除了源IP地址外,还可以匹配目标IP地址、协议类型、端口号等多种参数,适合复杂的流量管理场景[^4]。 #### 三、ENSPACL配置的基本流程 以下是一个典型的ACL配置过程: 1. 创建ACL规则 使用`acl number`命令创建ACL编号,并定义具体的规则。例如: ```bash [Router] acl 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 ``` 2. 将ACL应用到接口 配置完成后,需将ACL绑定到指定的接口方向(入站或出站)。例如: ```bash [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 ``` 3. 测试与验证 可以使用`display acl all`查看当前设备上的所有ACL规则;或者使用`ping`测试特定流量是否被正确过滤。 #### 四、实验案例设计 假设需要在一个小型企业网络中部署ACL策略,具体要求如下: - 允许来自子网192.168.1.0/24的数据流访问外部互联网; - 拒绝其他内部子网(如192.168.2.0/24)对外部资源的访问。 ##### 实验拓扑图描述 该实验涉及两台路由器R1和R2,分别连接不同的VLAN子网。其中,R1负责执行ACL策略并充当出口网关[^5]。 ##### 配置脚本示例 ```bash [R1] acl 2001 [R1-acl-adv-2001] rule deny ip source 192.168.2.0 0.0.0.255 destination any [R1-acl-adv-2001] rule permit ip source 192.168.1.0 0.0.0.255 destination any [R1-GigabitEthernet0/0/1] traffic-filter outbound acl 2001 ``` 上述配置实现了针对不同子网的精确流量管控。 --- #### 五、注意事项 1. 在配置过程中应确保ACL规则顺序合理,因为系统会按照从上至下的优先级逐一匹配。 2. 如果需要调试ACL效果,建议启用日志记录功能以便分析异常情况。 --- ###
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值