ACL访问控制列表

자신을 변화시키다

于 2024-08-01 12:26:41 发布

阅读量223

点赞数 8

分类专栏：数通网络文章标签：网络 http 网络安全网络协议信息与通信命令模式华为

本文链接：https://blog.csdn.net/weixin_52267871/article/details/140843604

版权

数通网络专栏收录该内容

8 篇文章 0 订阅

订阅专栏

要求：

允许10.1/24访问30.1/24的http服务，但是禁止访问30.2
禁止10.2/24ping 两台服务器。可以访问其他服务。
20.1可以访问30.1，不能访问30.2。工作日8；00到18：00禁止访问30.3

1、实验拓扑

2、配置

1）PC和服务器IP地址配置

2）VLAN配置

单臂路由四步：

创建子接口。

封装dot1q协议，对应vlan。

配置IP。

开启ARP协议。

LSW1：

vlan batch 10 20
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 20
#
interface Ethernet0/0/22
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#

AR1：

#
interface GigabitEthernet0/0/1.10
 dot1q termination vid 10
 ip address 192.168.10.254 255.255.255.0 
 arp broadcast enable
#
interface GigabitEthernet0/0/1.20
 dot1q termination vid 20
 ip address 192.168.20.254 255.255.255.0 
 arp broadcast enable
#

3）链路聚合配置

步骤：创建聚合组。

undo portswitch 取消二层口限制

添加端口。trunkport

聚合口配IP地址。（路由器需配）

AR1：

#
interface Eth-Trunk1
 undo portswitch
 trunkport g0/0/0
 trunkport g0/0/2
 ip address 10.1.1.1 255.255.255.252 
 traffic-filter outbound acl 3000
 mode lacp-static
#

AR2：

#
interface GigabitEthernet0/0/1
 ip address 192.168.30.254 255.255.255.0 
#
interface Eth-Trunk1
 undo portswitch
 ip address 10.1.1.2 255.255.255.252 
 mode lacp-static
#

3）ACL策略

要求：必须按顺序配置。

1、允许10.1/24访问30.1/24的http服务，但是禁止访问30.2
2、禁止10.2/24ping 两台服务器。可以访问其他服务。
3、20.1可以访问30.1，不能访问30.2。工作日8；00到18：00禁止访问30.3

配置时间：

 time-range AAA 08:00 to 18:00 working-day

ACL配置：

#
acl number 3000  
 rule 5 permit tcp source 192.168.10.1 0 destination 192.168.30.1 0 destination-
port eq www 
 rule 10 deny ip source 192.168.10.1 0 destination 192.168.30.2 0 
 rule 15 deny icmp source 192.168.10.2 0 destination 192.168.30.1 0 icmp-type ec
ho 
 rule 20 deny icmp source 192.168.10.2 0 destination 192.168.30.2 0 icmp-type ec
ho 
 rule 25 permit ip source 192.168.20.1 0 destination 192.168.30.1 0 
 rule 30 deny ip source 192.168.20.1 0 destination 192.168.30.2 0 
 rule 35 deny ip source 192.168.20.1 0 destination 192.168.30.3 0 time-range AAA
 
#

4）静态路由

AR1：

ip route-static 192.168.30.0 255.255.255.0 10.1.1.2

AR2：

ip route-static 192.168.0.0 255.255.0.0 10.1.1.1

3、测试

1）允许10.1/24访问30.1/24的http服务，但是禁止访问30.2。

启动Server的http服务，以Server1为例。

验证：

2）禁止10.2/24ping 两台服务器。可以访问其他服务。

可以看到都ping不通，但我们测试一下http服务。

可以看到允许http等其他服务。

3）20.1可以访问30.1，不能访问30.2。工作日8；00到18：00禁止访问30.3

目前是周四的12：19，在时间范围内，不能访问192.168.30.2。

자신을 변화시키다

关注

8
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
ACL访问控制列表

3、20.1可以访问30.1，不能访问30.2。3）20.1可以访问30.1，不能访问30.2。1）允许10.1/24访问30.1/24的http服务，但是禁止访问30.2。1、允许10.1/24访问30.1/24的http服务，但是禁止访问30.2。目前是周四的12：19，在时间范围内，不能访问192.168.30.2。2、禁止10.2/24ping 两台服务器。2）禁止10.2/24ping 两台服务器。可以看到都ping不通，但我们测试一下http服务。可以看到允许http等其他服务。
复制链接

扫一扫