基于eNSP的ACL配置实验

已于 2022-11-27 10:43:37 修改
阅读量8.6k 收藏 158
点赞数 17
文章标签: 网络
于 2022-11-01 20:14:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57268869/article/details/127634698
版权

目录

一、实验目的

二、实验设备

 三、实验内容

四、实验步骤

1.组网

 (1)搭建环境

(2)设置各主机IP地址

(3) 配置各网段的网关地址

2.配置路由器的相关设置

(1)配置路由器的端口地址

(2)配置网络路由

3.配置ACL命令

(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。

(2)禁止192.168.1.10主机访问192.168.2.0/24网段,使用ping测试。

(3)禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。(ping+服务器访问页面测试)

(4)禁止任何网段ping测试192.168.3.0网段。

(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。

(6)仅允许192.168.4.10主机远程登录(telnet)192.168.6.20主机,只配置,不需要测试。

(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389)192.168.6.20主机,只配置,不需要测试。

一、实验目的

1. 掌握ACL的分类及作用;

2. 掌握ACL的配置方法;

二、实验设备

路由器:AR2240×3

交换机:S5700×2

终端:PC×6、Clinet×1、Server×1

 三、实验内容

图1.1 实验拓扑图

完成上图拓扑 

tips:在AR1中,默认只有3个端口,系统提示:“无可用端口!”时,右键“AR1”→设置→将“4GEW-T”拖动到指定位置

效果如下:

现在需求如下:

(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。

(2)禁止192.168.1.10主机访问192.168.2.0/24网段,使用ping测试。

(3)禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。(ping+服务器访问页面测试)

(4)禁止任何网段ping测试192.168.3.0网段。

(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。

(6)仅允许192.168.4.10主机远程登录(telnet)192.168.6.20主机,只配置,不需要测试。

(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389)192.168.6.20主机,只配置,不需要测试。

四、实验步骤

1.组网

 (1)搭建环境

按照如图1.1所示搭建实验环境,并将设备启动。

(2)设置各主机IP地址

PC1配置情况如下图所示,其余PC的IP地址为该网段的可用地址即可。

 

(3) 配置各网段的网关地址

网关地址都设置为所在网段可用地址的第一个

即:x.x.x.1

 

2.配置路由器的相关设置

(1)配置路由器的端口地址

配置AR1:

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.1 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.1 24
[AR1-GigabitEthernet0/0/2]int g6/0/0
[AR1-GigabitEthernet6/0/0]ip add 192.168.12.1 24

AR2、AR3如下图:

(2)配置网络路由

使得各网段能够互通(静态路由、动态路由均可)

这里配置的是通过ospf协议配置动态路由

配置AR1

[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255

 

测试:抓图验证各网段是否能够互通。

pc1 ping pc2 通

pc1 ping pc3 通

pc1 ping pc4 通

pc1 ping pc5 通

pc1 ping pc6通

3.配置ACL命令

根据实验需求,配置相应的ACL命令,要求在实验报告中写出配置命令,并通过抓图验证。

(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。

在AR3上配置acl 2000

[AR3]acl 2000
[AR3-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 
[AR3-acl-basic-2000]int g0/0/1
[AR3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

从192.168.1.10的pc1 ping 192.168.5.10  由图3.1可知,配置acl后ping不通,证明acl配置成功

图3.1

(2)禁止192.168.1.10主机访问192.168.2.0/24网段,使用ping测试。

在AR1配置acl 2000

[AR1]acl 2000

[AR1-acl-basic-2000]rule deny source 192.168.1.10 0.0.0.0
[AR1-acl-basic-2000]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

用192.168.1.10的pc1 ping 192.168.2.10 由图3.2可知,配置acl后ping不同,证明acl配置成功

图 3.2

(3)禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。(ping+服务器访问页面测试)

配置acl指令前,先进行测试

①启动server1的http服务

图 3.3.1

 ②在client1中ping192.168.6.20 可以ping通

图 3.3.2

③由图3.3.3可知服务器网页测试正常

图 3.3.3

④在AR1上配置acl 3000

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny tcp source 192.168.1.20 0.0.0.0 destination 192.168.
6.20 0.0.0.0 destination-port eq www
[AR1-acl-adv-3000]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 

⑤ 由图3.3.4可知,ping不通

    由图3.3.5可知,网页服务异常,证明acl配置成功

图 3.3.4
图 3.3.5

(4)禁止任何网段ping测试192.168.3.0网段。

在AR1上配置acl 3001

[AR1]acl 3001
[AR1-acl-adv-3001]rule deny icmp source any destination 192.168.3.0 0.0.0.255
[AR1-acl-adv-3001]int g0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 3001

 由图3.4.1、3.4.2、可知任何网段都无法用ping测试192.168.3.10,证明acl配置成功

图 3.4.1
图 3.4.2

(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。

在AR2上配置acl 2000

[AR2]acl 2000
[AR2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[AR2-acl-basic-2000]rule deny source any
[AR2-acl-basic-2000]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

由图3.5.1可知,192.168.2.10的pc2可以ping通192.168.4.10

图3.5.2、3.5.3可知,其他网段的pc ping不通192.168.4.10,证明acl配置成功 

图 3.5.1
图 3.5.2
 
图 3.5.3

(6)仅允许192.168.4.10主机远程登录(telnet)192.168.6.20主机,只配置,不需要测试。

在AR2上配置acl 3000

[AR2]acl 3000
[AR2-acl-adv-3000]rule permit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.20 0.0.0.0 destination-port eq 23
[AR2-acl-adv-3000]rule deny tcp source any destination 192.168.6.20 0.0.0.0 destination-port eq 23
[AR2-acl-adv-3000]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389)192.168.6.20主机,只配置,不需要测试。

在AR2上查看配置

[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/1        outbound   acl 2000
GigabitEthernet0/0/1        inbound    acl 3000
-----------------------------------------------------------

 可知在g0/0/1的入方向已经有acl 3000 ,一个端口一个方向只能配置一个acl,所以需要将acl 3000执行 undo命令

[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]undo traffic-filter inbound

 在AR2上配置acl 3001

[AR2]acl 3001
[AR2-acl-adv-3001]rule permit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.20 0.0.0.0 destination-port eq 3389
[AR2-acl-adv-3001]rule deny tcp source any destination 19.168.6.20 0.0.0.0 destination-port eq 3389
[AR2-acl-adv-3001]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl 3001

一江流雨
关注
  • 17
    点赞
  • 158
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
ACL配置实验
01-30
路由与交换技术实验报告:ACL配置实验。 包括实验目的、实验要求、实验拓扑、具体过程、心得体会等内容。
ENSP实验配置ACL
omh164052427的博客
12-23 4760
原理:访问控制列表(ACL)是一种基于包过滤的网络控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用的路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 准备:2台服务器,2台客户端,2台交换机,1台路由 先划分好网段,配置好服务器,客户端的网址,我们的实验目标是,让财务客户端能访问web,不能访问ftp,让市场可以访问ftp,不能访问web,所以,我们开启对应的服务(注意:只需开启对应服务,如ftp服务器只
ENSPACL配置(包含telnet配置
最新发布
2301_81704123的博客
07-14 697
以上是有两个网段,配置好对应的IP地址(为什么用路由器来当PC端,因为ensp中电脑没办法开启telnet去远程控制,所以拿路由器来充当现实生活中的PC端)以上策略,拒绝了 192.168.1.4对192.168.1.1的TCP目标端口23的访问-- 拒绝telnet。标准ACL配置--- 由于标准ACL,仅关注数据包中的源ip地址,故调用时应该尽量的靠近目标,避免误删。但一个接口的一个方向上只能调用一张列表。扩展acl的扩展应用 -- 在关注数据包中的源、目标ip地址的同时,还关注目标端口号。
ensp——ACL实验
热门推荐
qq_45491497的博客
09-30 1万+
一丶搭建实验环境及基本配置 AR1的IP配置 [AR1]interface g0/0/0 [AR1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 [AR1-GigabitEthernet0/0/0]q [AR1]interface g0/0/1 [AR1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 AR2...
ACL 实验配置
weixin_33836874的博客
02-12 219
真正实用的ACL实验配置,一看就会。 转载于:https://blog.51cto.com/xiaoyu888/61891
ENSP实验Acl nat server
10-20
ENSP实验中,你可以通过配置ACL来控制流量的进出,实现对网络资源的精细访问管理。ACL规则通常基于源IP地址、目的IP地址、端口号、协议类型等参数。例如,你可以创建一条规则,只允许特定IP地址的主机访问特定的...
华为模拟器eNSP练习题-ACL
01-04
"03-ACL"文件可能是ACL配置脚本或实验步骤说明,它可能包含了具体的ACL规则设置和应用位置。详细分析这个文件可以帮助你理解如何在实际环境中实施ACL策略。 在进行华为eNSPACL实验时,务必注意规则的顺序,因为...
基于ensp防火墙双击热备二层网络规划与设计(命令齐全)-参考文章-配置实验命令笔记
07-02
文件中包含了基于ensp防火墙双击热备二层网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(二层架构,核心层、计入层),文件在加入了相应的配套文章连接,并加入了实验的...
简单ensp实验作业.zip
10-30
【标签】"ensp" 明确了这个作业的核心技术是基于ENSP平台的,因此涉及到的知识点将围绕网络仿真、设备配置、故障排查等方面展开。 【压缩包子文件的文件名称列表】"zuoye" 这个文件名可能是作业的总文件夹,里面...
华为ENSP网络实验 (3).pdf
06-09
实验涵盖了多个关键的网络技术领域,包括交换机配置、VLAN设置、RSTP操作、路由协议、VRRP、DHCP、NAT、ACL、链路聚合以及SNMP管理和安全配置。 1. **交换机基本配置**: - 配置本地用户账户,包括用户名、密码和...
第八次实验ACL配置实验.docx
05-17
ACL配置实验
eNSp中的ACL实验
weixin_49252364的博客
05-24 1631
分析: 第一步:配置静态路由 R2: ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 R1: [r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 [r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23 PC1: ..
ACL(访问控制列表)配置实验
F2444790591的博客
12-27 2034
一、拓扑图 二、配置命令 1、基础配置 (1)LSW1配置信息 sys vlan b 10 20 30 int e0/0/1 port link-type access port default vlan 10 int e0/0/2 port link-type access port defau...
华为 eNSP 基本ACL配置实验
想去见见你的博客
07-02 6278
实验目的: 基本拓扑图,如下所示: 根据划分的网段,先进行三台pc机的IP分配 在AR1中部署ACL的相关内容(比较简略,但基本能完成相关配置) sys int g0/0/0 ip add 192.168.1.254 24 int g0/0/1 ip add 200.200.200.254 24 time-range work_time 8:00 to 18:00 daily acl 2000 rule permit source 192.168.1.31 0.0.0.0 time-range wo
华为ensp配置ACL
2301_77324496的博客
06-21 1万+
基础ACL和高级ACL配置
enspACL实验
AXDRXS的博客
07-25 1242
ACL分为基础ACL、扩展ACL以及二层ACL,由于本题具体到做什么,则使用扩展ACL,范围为3000-3999,由于ACL主打的就是就近原则,所以在R1的G0/0/1接口上调用,那么只需要写一张表即可。PC1不可以登录R2,可以ping TCP 192.168.1.1 0 192.168.2.2 eq 23。PC2不可以登录R1,可以ping TCP 192.168.1.3 0 192.168.1.1 eq 23。先写拒绝要求,再写允许,华为默认允许所有,不用写。
eNSPACL基础实验
weixin_44508518的博客
07-13 1542
r1有两个环回1.1.1.0/24和1.1.2.0/24,r4有一个环回4.4.4.0/24连接着ISP要求:1.实现1.1.1.1能访问4.4.4.4,1.1.2.1不能访问(基本ACL)2.没有设置acl之前,1.1.1.1可以访问和远程连接4.4.4.4,设置acl,过滤掉1.1.2.1ping4.4.4.4的流量,保留远程连接。3.保留1.1.2.1 ping 4.4.4.4,过滤1.1.2.1 远程连接 4.4.4.4实现1.1.1.1能访问4.4.4.4,1.1.2.1不能访问4.4.4.4设置
EnspACL配置
Xi522688的博客
06-17 711
(Access Control List)是一种用于网络设备或操作系统上访问权限的列表。ACL可以应用于网络设备,如路由器或交换机,用于限制网络流量和授权特定用户对某些资源的访问。它可以基于源IP地址、目标IP地址、端口号、传输协议等参数来定义访问规则。ACL可以通过允许或拒绝某些流量来保护网络安全。ACL也可以应用于操作系统中,用于限制用户或组对文件、文件夹、注册表项等资源的访问权限。它可以通过允许或拒绝特定操作(如读取、写入、执行)来控制用户的权限。
华为ensp acl配置实验
12-14
ACL(Access Control List)是一种网络安全技术,用于控制网络流量,实现网络访问控制。为eNSP是一款网络仿真软件,可以用于模拟网络环境,进行ACL配置实验。下面是ACL配置实验的步骤: 1. 创建网络拓扑:在eNSP中创建网络拓,包括交换机、路由器和主机等设备。 2. 配置IP地址:为每个设备配置IP地址,使它们能够相互通信。 3. 配置ACL规则:根据实验需求,设计ACL规则,包括基本ACL和高级ACLACL规则可以根据源IP地址、目的IP地址、协议类型、端口号等条件进行匹配,从而实现对网络流量的控制。 4. 应用ACL规则:将ACL规则应用到相应的接口上,使其生效。 5. 测试ACL效果:通过发送数据包测试ACL规则的效果,验证ACL是否能够正确地控制网络流量。 下面是一个简单的ACL配置实验范例: 1. 创建网络拓扑:在eNSP中创建一个包含两台主机和一台路由器的网络拓扑。 2. 配置IP地址:为路由器和两台主机分别配置IP地址,使它们能够相互通信。 3. 配置ACL规则:设计一个基本ACL规则,允许主机A向主机B发送HTTP流量,禁止其他流量通过。ACL规则如下: ```shell acl number 2001 rule 5 permit source 192.168.1.2 0 destination 192.168.1.3 0 http rule 10 deny ``` 4. 应用ACL规则:将ACL规则应用到路由器的接口上,使其生效。假设路由器的接口为GigabitEthernet 0/0/1,应用ACL规则的命令如下: ```shell interface GigabitEthernet 0/0/1 ip address 192.168.1.1 24 traffic-filter inbound acl 2001 ``` 5. 测试ACL效果:在主机A上发送HTTP流量到主机B,验证ACL规则是否生效。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值