ACL实验

最新推荐文章于 2024-06-14 13:37:51 发布
最新推荐文章于 2024-06-14 13:37:51 发布
阅读量739 收藏 18
点赞数 18
分类专栏: H3C-RS+    NE-LAB 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58393445/article/details/138078506
版权

实验拓扑

此拓扑中 PC4,PC5,SERVER1 使用路由器来模拟

实验需求

  1. 按照图示配置 IP 地址
  2. 全网路由互通
  3. 在 SERVER1 上配置开启 TELNET 和 FTP 服务
  4. 配置 ACL 实现如下效果
    1. 192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现
    2. PC4 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务
    3. PC5可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务
    4. 192.168.2.0/24 网段不允许访问 SERVER1,要求通过高级 ACL 实现

实验步骤

1、配置IP地址

[H3C]sysname R1

[R1]int loop 0

[R1-LoopBack0]ip add 1.1.1.1 32

[R1-LoopBack0]int g0/1

[R1-GigabitEthernet0/1]ip add 192.168.1.254 24

[R1-GigabitEthernet0/1]int g0/0

[R1-GigabitEthernet0/0]ip add 100.1.1.1 24

[H3C]sysname R2

[R2]int loop 0

[R2-LoopBack0]ip add 2.2.2.2 32

[R2-LoopBack0]int g0/0

[R2-GigabitEthernet0/0]ip add 100.1.1.2 24

[R2-GigabitEthernet0/0]int g0/1

[R2-GigabitEthernet0/1]ip add 100.2.2.2 24

[R2-GigabitEthernet0/1]int g0/2

[R2-GigabitEthernet0/2]ip add 192.168.2.254 24

[H3C]sysname R3

[R3]int loop 0

[R3-LoopBack0]ip add 3.3.3.3 32

[R3-LoopBack0]int g0/0

[R3-GigabitEthernet0/0]ip add 100.2.2.3 24

[R3-GigabitEthernet0/0]int g0/1

[R3-GigabitEthernet0/1]ip add 192.168.3.3 24

[H3C]sysname PC4

[PC4]int g0/0

[PC4-GigabitEthernet0/0]ip add 192.168.1.1 24

[H3C]sysname PC5

[PC5]int g0/0

[PC5-GigabitEthernet0/0]ip add 192.168.1.2 24

[H3C]sysname SERVER1

[SERVER1]int g0/0

[SERVER1-GigabitEthernet0/0]ip add 192.168.3.6 24

        分析:由于H3C模拟器中的PC无法使用telnet服务,所以使用路由器模拟,路由器模拟PC,需要配置网关,否则全网通也无法实现通信,其它PC同样如此进行配置。

[PC4]ip route-static 0.0.0.0 0 192.168.1.254

[PC5]ip route-static 0.0.0.0 0 192.168.1.254

[SERVER1]ip route-static 0.0.0.0 0 192.168.3.3

2、采用OSPF协议使得全网互通

[R1]ospf 1 router-id 1.1.1.1

[R1-ospf-1]a 0

[R1-ospf-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0

[R1-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255

[R1-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.255

[R2]ospf 1 router-id 2.2.2.2

[R2-ospf-1]a 0

[R2-ospf-1-area-0.0.0.0]net 2.2.2.2 0.0.0.0

[R2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.255

[R2-ospf-1-area-0.0.0.0]net 100.2.2.0 0.0.0.255

[R2-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255

[R3]ospf 1 router-id 3.3.3.3

[R3-ospf-1]a 0

[R3-ospf-1-area-0.0.0.0]net 3.3.3.3 0.0.0.0

[R3-ospf-1-area-0.0.0.0]net 100.2.2.0 0.0.0.255

[R3-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255

验证:全网互通

        分析:采用OSPF协议,使得全网互通,这里在R1上查看路由表,包含全网的路由。PC4可以访问服务器、PC5、PC8。

3、在 SERVER1 上配置开启 TELNET 和 FTP 服务部分

步骤 1:server上配置telnet服务

[SERVER1]telnet server enable

[SERVER1]local-user admin class manage   //创建本地用户admin,并指定用户的类型为管理用户

New local user added.

[SERVER1-luser-manage-admin]password simple abcde12345   //设置明文密码

[SERVER1-luser-manage-admin]authorization-attribute user-role level-15  //授权用户级别为15(最高级别)

[SERVER1-luser-manage-admin]service-type telnet  //服务类型为telnet

[SERVER1]line vty 0 4 设置用户同时登录数量为5个,0-4

[SERVER1-line-vty0-4]authentication-mode scheme    //验证模式为scheme,将之前定义的用户在这里调用

[SERVER1-line-vty0-4]protocol inbound telnet  //指定远程登入的协议为telnet

步骤 2server上配置ftp服务

[SERVER1]ftp server enable

4、配置ACL部分

        分析:需求 i,要求 192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,只能使用基本 ACL 实现。基本 ACL 只过滤源 IP 地址,只能在 R2 的 g0/2 接口上配置出方向包过滤来实现。如果配置在两个网段沿途的其他位置,将会影响到 192.168.1.0/24 网段和其他网段的正常通讯
  需求 ii,PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务。既然要过滤指定的服务,就只能使用高级 ACL,高级 ACL 不会造成误过滤,所以可以配置在离源地址最近的接口的入方向,也就是 R1 的 g0/1 接口的入方向。另外,由于 H3C 的 ACL 用于包过滤默认动作是允许,所以并不需要专门配置允许 PC1 访问 SERVER1 的 TELNET,只需要配置拒绝访问 FTP 的规则即可
  需求 iii,PC2 可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务。同理,只能使用高级 ACL,配置在 R1 的 g0/1 接口的入方向。而且也只需要配置拒绝访问 TELNET 的规则即可
  由于需求 i 和需求 ii 配置在同一个路由器同一个接口的同方向,所以把规则写入到同一个 ACL 即可
  需求 iv:192.168.2.0/24 网段不允许访问 SERVER1,要求通过高级 ACL 实现。高级 ACL 不会造成误过滤,所以可以配置在离源地址最近的接口的入方向,也就是 R2 的 g0/2 接口的入方向。另外,没有明确说明不允许访问什么服务,就是所有都不允许访问,所以高级 ACL 中的协议需要指定为 IP 协议

步骤 1:创建基本 ACL,使 192.168.1.0/24 网段不能访问 192.168.2.0/24 网段,并在 R2 的 g0/2 接口的出方向配置包过滤

[R2]acl basic 2000

[R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[R2-acl-ipv4-basic-2000]int g0/2

[R2-GigabitEthernet0/2]packet-filter 2000 outbound

验证:PC4、PC5都无法ping通PC8

步骤 2:创建高级 ACL,使 PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务;PC2 可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务,并在 R1 的 g0/1 接口的入方向配置包过滤

[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.6

 0 destination-port range 20 21

[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.1

68.3.6 0 destination-port eq 23

[R1-acl-ipv4-adv-3000]int g0/1

[R1-GigabitEthernet0/1]packet-filter 3000 inbound

验证:

1PC4可以连接 SERVER1 的 TELNET,但不能连接 FTP

2PC5可以连接 SERVER1 的 FTP,但不能连接 TELNET

步骤 3:创建高级 ACL,使PC8 不能访问 SERVER1,并在 R2 的 g0/2 接口的入方向配置包过滤

[R2]acl advanced 3000

[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.8 0 destination 192.168.3.6 0

[R2-acl-ipv4-adv-3000]int g0/2

[R2-GigabitEthernet0/2]packet-filter 3000 inbound

验证:PC8无法ping通SERVER1

无屋午
关注
专栏目录
acl实验
fusehng的博客
03-20 1419
0)需求: 拓扑中全网互通,Server1和server2上提供FTP和HTTP服务。 使用基本访问控制列表,控制192.168.1.0网络不能访问server1。 使用基本访问控制列表,限制192.168.1.0网段不能telnet到R2。 使用高级访问控制列表,控制192.168.2.1只能访问server1的http服务,访问server2的ftp服务,其它都禁止; 实验步骤:1、先...
ACL实验案例
weixin_64447699的博客
03-05 292
【代码】ACL实验案例。
ensp 扩展ACL实验
weixin_53308294的博客
09-15 2275
题目: 1.pc1可以用telnet ar1 ,不可以ping ar1; 2.pc1可以ping ar2 ,不可以telnet ar 2; 3.pc2要求与pc1相反; 一.分析题目 1.因为是具体到阻止某个操作,所以我们可以确定用扩展ACL,因为扩展ACL是要靠近源,也就是要在ar1的g/0/0/0接口上进行调用,因为题目中的四个条件都是在g0/0/0接口实施策略,所以只用写一张表,因为在一个方向的一个接口上只能调用一张表 2.写ACL表最好是先写拒绝的要求,最后再写允许所有,因为华为默认是允许所有的所
第六章 扩展ACL实验
沐一清
09-04 3833
实验一:做扩展ACL允许192.168.10.1访问WEB服务器,拒绝ping服务器,并在扩展ACL表中插入序号为15的策略(对IP为192.168.10.2的主机拒绝ping服务器)。 实验思路 1.配置PC1的地址为192.168.10.1,掩码为24位,网关为192.168.10.254。 2. 配置PC2的地址为192.168.10.2,掩码为24位,网关为192.168.10.25...
Cisco:标准ACL实验配置实验
05-13
访问控制列表,实现网络流量限制,提供流量控制,为网络提供基本的安全层
扩展ACL实验
12-16
ACL控制列表实验 有步骤,方便您的学习和使用。。
ACL实验例题,有需要的查看,不建议看
05-12
ACL实验例题,有需要的查看,不建议看
cisco路由器的ACL实验
06-27
cisco路由器访问控制列表练习,用PKT做的模拟实验基本实现简单的校园网络的架构
面向云计算平台的信息安全等级保护测评实践与建议
ddcajdkdl的博客
06-14 604
面向云计算平台的信息安全等级保护测评是一项系统工程,需要政府、云服务商、用户及第三方测评机构等多方共同努力,通过持续的技术创新与管理优化,确保云计算环境下的信息安全,为数字经济发展提供坚实的安全保障。
Linux网络编程(二)Socket编程
Oafz的博客
06-12 271
【代码】Linux网络编程(二)Socket编程。
Android WebSocket长连接的实现
Billy_Zuo的博客
06-12 1433
WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于[“服务器推送技术”]的一种。WebSocket的特点包括:建立在 TCP 协议之上,服务器端的实现比较容易。与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用 HTTP 协议,因此握手时不容易屏蔽,能通过各种 HTTP 代理服务器。支持双向通信,实时性更强。
数据通信与网络
weixin_74923758的博客
06-13 667
例如,TCP(Transmission Control Protocol)使用三次握手的过程来建立连接:发送方首先发送一个带有SYN标志的数据包给接收方,接收方收到后回复SYN和ACK标志的数据包,最后发送方回复一个带有ACK标志的数据包,确认连接建立,这样就可以确保双方都同意开始数据传输。中心节点是主节点,网络中的各个节点通过点到点的方式连接到一个中心节点上,再由中心节点向目的节点传输信息。所以,要先把信息用0,1比特的组合表示出来,再将0,1比特转换成特定的电流或电压,通过物理链路发送出去。
Java网络通信及Servlet常见场景实现
ty2587的博客
06-10 185
【代码】Java网络通信实现。
创建Docker容器与外部机通信(端口映射的方式)
m0_52980547的博客
06-14 591
首先,创建一个自定义的Docker网络,这样可以更好地控制容器间的通信以及容器与外部网络的交互。自定义网络允许你为容器分配固定的IP地址。这个命令创建了一个名为mynetwork的网络,使用了172.18.0.0/16作为子网。
工业网关在智能制造中的具体应用和效果-天拓四方
最新发布
2401_84969963的博客
06-14 603
通过对数据的处理和分析,我们可以获得设备的运行状态、生产效率、故障预警等信息,为企业提供决策支持和优化建议。未来,随着技术的不断进步和应用场景的拓展,工业网关将在智能制造领域发挥更加重要的作用,为企业创造更多的价值。网关设备通过有线或无线方式与生产设备进行连接,实时收集设备的运行状态、生产数据等信息,并将数据通过安全可靠的通信协议传输至企业的数据中心或云平台。通过工业网关的应用,企业实现了对生产设备的实时监控和数据分析,能够及时发现并解决设备故障和生产瓶颈,提高生产效率。
HCIA-设备管理+路由基础
yasinawolaopo的博客
06-11 172
它是由linux进行修改的,目前路由上使用的最多的是VRP5,VRP涉及到防火墙,路由器等。VRP8一般会使用在数据中心级,运营商级别的网络它们相对版本会高一些,支持的性能会更高也是最吃资源的。不建议大家改成中午,因为真机情况下是不支持中午的。eNSP使用的是v2box虚拟机。以华为的eNSP为例。
思科模拟器acl实验
08-13
根据你提供的引用和,你配置了两个不同的ACL实验。第一个实验中,你配置了一个标准ACL,并禁止了192.168.10.0网段的路由通过。然后,在接口G0/1上应用了这个ACL。第二个实验中,你配置了一个扩展ACL,并允许了某些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值