华为ENSP基本ACL实验

已于 2024-06-28 18:39:58 修改
阅读量792 收藏 13
点赞数 14
文章标签: 华为 智能路由器 网络
于 2024-06-10 19:15:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014551471/article/details/139580670
版权

 使用基本ACL限制公司网络访问

1.项目背景

Jan16公司有开发部、市场部和财务部,各有计算机若干台、财务系统服务器1台,使用三层交换机进行局域网组建,并通过路由器连接至外部网络。出于数据安全的考虑,需要在交换机上进行访问控制。项目拓扑如图1所示。具体要求如下:

(1) SW1上为开发部、市场部、财务部及财务系统分别创建了VLAN10、20、30、40;

(2) 要求财务系统服务器仅允许财务部进行访问;

(3) 财务系统服务器仅在内网使用,不允许访问外部网络;

(4) 测试计算机、交换机和路由器的IP和接口信息如拓扑所示。

2.项目规划设计

三层交换机的访问控制策略主要是通过ACL访问控制列表对不同VLAN的IP地址段进行流量匹配控制。标准ACL可以对IP包进行源地址匹配,即检查通过IP包中的源地址信息,如果源地址与ACL中的规则相匹配,就执行放行或拦截的操作。为了让其它部门无法访问财务系统服务器,可以在三层交换机中配置匹配财务部IP地址段拒绝其他所有IP的ACL,并在G0/0/2接口的OUT方向上应用;同时在添加拒绝财务部系统服务器IP地址段的ACL,在G0/0/1接口的OUT方向上应用阻止财务部系统服务器访问外部网络。外部网络连接方面,三层交换机配置默认路由指向出口路由器。出口路由器可根据ISP接入方式采用对应的路由协议,这里不作描述。

配置步骤如下:

(1) 配置交换机基础环境

(2) 配置路由器基础环境

(3) 配置基本ACL访问控制

(4) 配置各部门计算机的IP地址

具体规划如下表:

由题意已知各接口IP以及有四个VLAN,先进入接口配置IP和vlan

由于这里老师给的交换机是S5700,题目是S3700,问过老师之后让我们直接按照拓补图做VLAN划分就可以了,不用管IP规划表

相当于就是圈上的全部不用做

如果是S3700,只需要根据更改相应的端口并加入就可以了,是一样的做法

由拓补图和规划表已知有五个vlan,10,20,30,40,50,先创建vlan

[SW1]vlan batch 10 20 30 40 50

Info: This operation may take a few seconds. Please wait for a moment...done.

然后根据拓补图把相应端口划分到相应VLAN里

在这里我们可以看到比如GE0/0/2对应vlan40

[SW1-GigabitEthernet0/0/2]port-ty 

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2]port def

[SW1-GigabitEthernet0/0/2]port default vlan 40

[SW1-GigabitEthernet0/0/2]

[SW1-GigabitEthernet0/0/2]int gig 0/0/3

[SW1-GigabitEthernet0/0/3]port link-type access

[SW1-GigabitEthernet0/0/3]port default vlan 10

[SW1-GigabitEthernet0/0/3]int gig 0/0/4

[SW1-GigabitEthernet0/0/4]port link-type access

[SW1-GigabitEthernet0/0/4]port default vlan 20

[SW1-GigabitEthernet0/0/4]int gig 0/0/5

[SW1-GigabitEthernet0/0/5]port link-type access

[SW1-GigabitEthernet0/0/5]port default vlan 30

[SW1-GigabitEthernet0/0/5]int gig 0/0/1

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 50

然后配置VLAN的IP地址:

interface Vlanif10

 ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

 ip address 192.168.20.254 255.255.255.0

#

interface Vlanif30

 ip address 192.168.30.254 255.255.255.0

#

interface Vlanif40

 ip address 192.168.40.254 255.255.255.0

#

interface Vlanif50

 ip address 192.168.1.254 255.255.255.0

然后配置一条默认路由指向路由器G0/0/0的IP地址,也就是如图所示的接口

我们可以在IP地址规划表那里看到IP为192.168.1.1

[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

然后配置路由器的IP地址

我们可以在IP地址规划表这里看到IP地址

[Huawei]system-view

[Huawei]sysname R1

[R1]undo in info-center enable

[R1]int G0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.1.124

[R1]int G0/0/1

[R1-GigabitEthernet0/0/1]ip add 10.10.10.124

然后配置路由器的静态路由的目的地址分别为VLAN10,20,30,40,这样路由才能通

[R1]ip route-static 192.168.10.0 255.255.255.0 192.168.1.254

[R1]ip route-static 192.168.20.0 255.255.255.0 192.168.1.254

[R1]ip route-static 192.168.30.0 255.255.255.0 192.168.1.254

[R1]ip route-static 192.168.40.0 255.255.255.0 192.168.1.254

由题意要求,加粗的是重点,则做出相应配置

由于做的是基础的acl,所以采用acl 2000和2001

这里做的是这一题:

由于需要匹配财务部,财务部是192.168.30.0/24网段所以做出如下配置并在G0/0/2接口outbound应用:

acl number 2000

 rule 5 permit source 192.168.30.0 0.0.0.255

 rule 10 deny

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 40

 traffic-filter outbound acl 2000

这里做的是这一题:

由于需要拒绝财务部系统服务器IP网段,既192.168.40.0/24网段,并且阻止财务部系统服务器访问外网:

acl number 2001

 rule 5 deny source 192.168.40.0 0.0.0.255

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 50

 traffic-filter outbound acl 2001

#

DZ丿知更
关注
  • 14
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
综合组网实验(eNSP)(vlan、vlan间通信、nat地址转换、acl、dhcp、ospf……)
01-09
综合组网实验 一、概述 本次实验模拟学校实验室的网络环境,通过虚拟环境进行组网,通过vlan、路由、访问控制等,实现不同实验之间的通信,并且可以通过ACL控制某一个实验室的网络通信,进行简单的组网分析 二、应用的网络知识 Vlan Vlan间通信 静态路由 动态路由 链路聚合 链路备份 Nat地址转换 ACL访问控制 DHCP 三、实验拓扑 四、实验分析 五、实验详细配置 1. LSW1的配置 1.1 划分vlan 将G0/0/1接口划入vlan201,G0/0/2接口划入vlan202 sys Enter system view, return user view with Ctrl+Z
华为enspACL配置实验
m0_73767222的博客
04-20 942
此时在R1上pingR3,测试连通性。先在R2系统视图中使用命令undo acl all或者undo acl 2000清除相应的acl,如果接口上的acl实在清除不掉,重启设备,重新配置即可。(2)在R2上配置高级 ACL,使得 R1不能ping通R3,但可以telnetR3,而且可以正常访问其他设备。由于ping命令基于ICMP协议,所以此处我们拒绝ICMP协议的流量,ping命令自然失效。在R1上telnetR3,可以正常登录。R3(配置高级ACL),但是。3(配置高级ACL)3(配置高级ACL
华为 eNSP 基本ACL配置实验
想去见见你的博客
07-02 6256
实验目的: 基本拓扑图,如下所示: 根据划分的网段,先进行三台pc机的IP分配 在AR1中部署ACL的相关内容(比较简略,但基本能完成相关配置) sys int g0/0/0 ip add 192.168.1.254 24 int g0/0/1 ip add 200.200.200.254 24 time-range work_time 8:00 to 18:00 daily acl 2000 rule permit source 192.168.1.31 0.0.0.0 time-range wo
华为ensp配置ACL
热门推荐
2301_77324496的博客
06-21 1万+
基础ACL和高级ACL的配置
华为ensp基本acl 原理及配置命令(详解)
博客之路,前途漫漫
04-05 4601
华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。ACL的匹配规则。
华为模拟器eNSP练习题-ACL
01-04
在进行华为eNSPACL实验时,务必注意规则的顺序,因为ACL遵循“先匹配,后处理”的原则。此外,还要理解不同的接口方向(入站和出站)以及不同类型的ACL网络流量的影响。通过这些练习,你可以深化对网络访问控制...
华为eNSP拓扑综合实验-HCIA综合
11-01
华为eNSP拓扑综合实验-HCIA综合】 华为eNSP(Enterprise Network Simulation Platform)是一款强大的网络仿真工具,广泛用于模拟和测试各种网络环境,尤其在华为认证的学习和考试中扮演着重要角色。本实验是针对...
华为ENSP网络实验 (3).pdf
06-09
华为ENSP网络实验】是针对网络工程师和学习者设计的一系列实践操作,旨在通过模拟真实网络环境来提升技能和理解。实验涵盖了多个关键的网络技术领域,包括交换机配置、VLAN设置、RSTP操作、路由协议、VRRP、DHCP、...
华为Ensp基本ACL,高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
06-16
华为Ensp基本ACL,高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
华为模拟器eNSP-HCIA综合实验2
01-04
在这个实验中,你将通过华为eNSP(Enterprise Network Simulation Platform,企业网络仿真平台)进行操作,这是一个强大的网络模拟和原型设计工具,它允许用户在虚拟环境中配置、测试和学习华为网络设备。...
华为HCIP Datacom H12-821 卷40
QIN_yuexiang的博客
07-15 305
在RSTP协议中,根端口的角色一旦确定后,就一直是Forwarding,是不需要借助于P/A机制的,所以SW2的下游链路所连接的设备的接口,即SW3的接口是一个替代接口,该端口不会进入到转发状态的,同时SW3连接PC的端口设置为了边缘端口。配置对在线802.1X用户进行重认证功能后,设备会把保存的在线用户的认证参数(用户上线后,设备上会保存该用户的认证信息)发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,则用户正常在线;若用户的认证信息已更改,则用户将会被下线,此后用户需要重新进行认证。
华为USG6000V防火墙NAT智能选举
最新发布
duoba_an的博客
07-16 636
NAT技术是”网络地址转换“,将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定,随机的。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态NAT转换。动态NAT是在路由器或防火墙上配置一个外网IP地址池,当内部有计算机需要和外部通信时,就从地址池里动态的取出一个外网IP,并将他们的对应关系绑定到NAT表中,通信结束后,这个外网IP才被释放,可供其他内部IP地址转换使用,这个DHCP租约IP有相似之处。分公司内部的客户端可以通过域名访问到内部的服务器。
VGMP(VRRP组管理协议)和HRP(华为冗余技术)
Thewei666的博客
07-16 612
VGMP协议是在VRRP协议的基础上开发的,其最主要的主要作用是集中管理VRRP备份组,控制VRRP状态的统一切换。在传统的VRRP协议中,VRRP组是相互独立的,一个VRRP组的切换不会导致其他VRRP组进行同步切换。而在防火墙的双机热备场景中,防火墙上下有各有一个VRRP组,需要同步切换,而传统的上行链路监控比较复杂,因此设计了VGMP协议来对VRRP进行统一的切换管理,确保网络中的流量能够正确的路由和转发。
华为USG6000V防火墙安全策略用户认证
duoba_an的博客
07-11 1351
系统-->管理员-->管理员角色创建新建管理员管理员登录权限发生变化实验到这里就全部做完了,不完美的就是这里的用户验证不完全,不知道做的配置和策略能不能完全成功。其他的思路只要清晰,这个配置起来不难吧!
华为应用市场静默安装
doublelixin的博客
07-16 233
最近有个需求,领导要求华为应用市场实现静默安装。反编译华为应用市场后发现只要加个权限就可以实现。直接上代码,位置在aosp的PermissionManagerService中。
华为1000人校园实验记录
风是自由的,你也是
07-16 183
【代码】华为1000人校园实验记录。
防火墙NAT和智能选路实验详解(华为)
m0_64365018的博客
07-13 847
从我上面一个博客能够了解到NAT和防火墙选路原理 ——>防火墙nat和智能选路,这一章我通过实验来详解防火墙关于nat和智能选路从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1、ensp模拟器进行实验
华为ensp acl配置实验
12-14
ACL(Access Control List)是一种网络安全技术,用于控制网络流量,实现网络访问控制。为eNSP是一款网络仿真软件,可以用于模拟网络环境,进行ACL配置实验。下面是ACL配置实验的步骤: 1. 创建网络拓扑:在eNSP中创建网络拓,包括交换机、路由器和主机等设备。 2. 配置IP地址:为每个设备配置IP地址,使它们能够相互通信。 3. 配置ACL规则:根据实验需求,设计ACL规则,包括基本ACL和高级ACLACL规则可以根据源IP地址、目的IP地址、协议类型、端口号等条件进行匹配,从而实现对网络流量的控制。 4. 应用ACL规则:将ACL规则应用到相应的接口上,使其生效。 5. 测试ACL效果:通过发送数据包测试ACL规则的效果,验证ACL是否能够正确地控制网络流量。 下面是一个简单的ACL配置实验范例: 1. 创建网络拓扑:在eNSP中创建一个包含两台主机和一台路由器网络拓扑。 2. 配置IP地址:为路由器和两台主机分别配置IP地址,使它们能够相互通信。 3. 配置ACL规则:设计一个基本ACL规则,允许主机A向主机B发送HTTP流量,禁止其他流量通过。ACL规则如下: ```shell acl number 2001 rule 5 permit source 192.168.1.2 0 destination 192.168.1.3 0 http rule 10 deny ``` 4. 应用ACL规则:将ACL规则应用到路由器的接口上,使其生效。假设路由器的接口为GigabitEthernet 0/0/1,应用ACL规则的命令如下: ```shell interface GigabitEthernet 0/0/1 ip address 192.168.1.1 24 traffic-filter inbound acl 2001 ``` 5. 测试ACL效果:在主机A上发送HTTP流量到主机B,验证ACL规则是否生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DZ丿知更

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值