华为[ENSP]ACL配置实例(访问控制列表配置实例)

已于 2022-04-04 21:01:47 修改
阅读量3.5w 收藏 418
点赞数 67
分类专栏: 网络安全技术 华为eNSP HCIA 文章标签: 网络
于 2022-04-03 21:52:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62594100/article/details/123942609
版权
华为eNSP 同时被 3 个专栏收录
42 篇文章 19 订阅
订阅专栏
HCIA
30 篇文章 17 订阅
订阅专栏
网络安全技术
8 篇文章 3 订阅
订阅专栏

ACL配置实验一(高级ACL)(简单)的拓扑图如下:

一、配置PC1、PC2和Server

 

 二、配置Router(运用高级ACL配置)

相关命令解析:

[Router]acl 3000(进入高级ACL配置,编号为3000)

[Router-acl-adv-3000]route 1 permit source 10.1.7.66 0(0为通配符掩码) destination 20.1.1.2 0(0为通配符掩码)

[Router-acl-adv-3000]route 2 deny source 10.1.7.2 0 destination 20.1.1.2 0

//通配符掩码:0.0.0.0,表示唯一匹配的一个主机地址(对于华为eNSP的命令直接输0也可以)

//rule 1/rule 2表示设立一条规则,编号为一/二

//permit是允许通过的意思,deny是不允许通过的意思

[Router-GigabltEthernet0/0/0]traffic-filter outbound acl 3000 
//意思是把acl 3000的配置这条规则放在G0/0/0这个端口之下,并在接口上配置基于ACL对报文进行过滤。

traffic-filter命令用来在接口上配置基于ACL对报文进行过滤。 

使用实例

# 在Eth2/0/0上配置基于ACL对报文流进行过滤,允许源IP为192.168.0.2/32的报文通过。

<Huawei> system-view 
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 permit ip source 192.168.0.2 0 
[Huawei-acl-adv-3000] quit 
[Huawei] interface ethernet 2/0/0 
[Huawei-Ethernet2/0/0] traffic-filter inbound acl 3000

区分反掩码和通配符掩码

反掩码其实就是用255.255.255.255减去掩码,剩下的就为反掩码。反掩码也必须由从右到左连续的“1”和“0”组成 。通配符掩码和反掩码很不同的一点是反掩码必须有连续的"1"和"0"组成,但是通配符的"1"可以被"0"隔开。通配符掩码中"0"代表精确匹配,"1"代表任意匹配。当然,通配符掩码的计算方式类似于反掩码,在细节上又不同于反掩码。

举例1:192.168.1.0  0.0.0.255这条规则匹配了192.168.1.0 /24 这个网段,共有256个地址

把点分十进制组成的0.0.0.255通配符掩码写成二进制,就变为00000000 00000000 00000000 11111111,因为在通配符掩码中,"0"代表精确匹配,"1"代表任意匹配,因此,IP地址只匹配最后八位11111111,共有2^8=256个地址数可供选择,所以,可以匹配的地址就是192.168.1.0~192.168.1.255

 三、实验结果(能Ping通PC2但无法Ping通PC1)

 ACL配置实验二(基本ACL)的拓扑图如下:

 一、配置PC1、PC2和路由器AR1、AR2

二、配置静态路由使得PC1、PC2能够Ping通AR2

相关解析:

[R2]ip route-static 172.16.1.0 24 12.1.1.1
//配置静态路由命令,24表示掩码位数,172.16.1.0是目标网段地址,12.1.1.1是AR2路由器的下一跳地址。

 三、配置基本ACL(使得PC1无法访问(Ping通)AR2,PC2可以访问(Ping通)AR2)

1.在路由器R1上配置基本ACL 并确认ACL配置结果,然后调用ACL并且检查ACL调用结果

命令格式: 

执行命令rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | { vpn-instance vpn-instance-name | public } ] *

[R1]acl 2000

[R1-acl-basic-2000]rule 1 deny source 172.16.1.100 0  //不允许PC1访问

[R1-acl-basic-2000]rule 2 permit source 172.16.1.200 0  //允许PC2访问

[R1-acl-basic-2000]rule permit  //放行其他流量,系统默认为拒绝所有流量

[R1-acl-basic-2000]dis this  //查看ACL配置结果

[R1]int g0/0/1  //进入端口号g0/0/1调用ACL

[R1-GigabitEthernet]traffic-filter outbound 2000  //前面ACL实验一已有详细解释,不再赘述。

[R1-GigabitEthernet]dis this //查看g0/0/1接口的ACL调用情况

  

2.测试PC1、PC2能否访问路由器R2

 3.检查ACL的匹配情况

由图可知,由匹配数字,说明配置的基本ACL生效了,一个基本ACL配置实验完成。

 ACL配置实验三(高级ACL)的拓扑图如下:

一、配置R1、R2、R3、R4

二、配置静态路由使得各个路由器可以连通

三、测试Telnet功能

1.开启Telnet

 2.测试Telnet

四、配置高级ACL

[R2-acl-adv-3000]rule deny tcp destination 12.1.1.2 0 destination-port 
eq 23 source 172.16.1.200 0 

//这是一条ACL规则,意思是拒绝目的TCP端口为23号端口的数据包,(telnet使用的是
//tcp23号端口),作用即如果有数据包是访问某IP的telnet端口的,则会被拒绝掉。
//eq 是端口的意思

inbound和outbound的区别

inbound代表ACL入接口,outbound代表ACL出接口,可与前面的实验一进行对比。

五、检查实验结果

由图可知路由器R3可以Telnet路由器R2,而路由器R4不能Telnet路由器R2。同时其他业务没有受到影响。

 由上面两图可知,ICMP的流量正常。最后,让我们看一下ACL匹配情况。ACL的匹配项验证结果如下图所示:

由上图可知,匹配情况正常,这说明ACL匹配成功,且应用成功。至此,配置实验完毕。

 ACL配置实验四(基于时间的ACL及其配置实例)的拓扑图如下:

继续实验三的实验完成实验四的配置:

一、配置基于时间的ACL 

1.在路由器R2上配置基于时间的ACL

 2.调用基于时间的ACL

二、测试

1.在路由器R2上查看时间,如下图所示,验证VRP系统的时间

2.由上图可知,在访问时间内,发起Telnet会话,如下图所示,完成有效时间内的网络测试

 3.由上图可知,Telnet配置成功。最后我们来查看一下基于时间的ACL是否匹配,如下图所示,进行生效验证。

由上图可知,有的字段为Active,并且由匹配项,这说明是在正确的时间内进行访问的。读者可以测试一下,不在规则的时间内进行访问的结果,测试结果会告诉你,基于时间的ACL可以有效控制网络访问。

傲娇回忆杀
关注
  • 67
    点赞
  • 418
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
华为路由器:ACL介绍及配置实验
迷逝
12-10 1万+
一、ACL介绍 ACL作用 访问控制网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制网络权限控制、目录级控制以及属性控制等多种手段。 应用设备——路由器 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定
华为 eNSP配置实例详解
10-31
通过与华为合作伙伴共同组织,现提供完整的华为 eNSP关于 路由器、交换机设备,配置单臂路由、链路聚合、三层交换机的实例,包含拓朴图、配置命令及详细设置,亲测可用。希望有需要的朋友下载,交流。
华为配置命令——ACL配置
zsrzy的博客
04-23 5647
华为配置命令ACL设置
实验:华为ACL配置
Baozijiaruqin的博客
07-11 2430
ACL分为基本ACL和高级ACL。 基本ACL只能基于数据包的源地址、报文分片标记和时间段来定义规则。 高级ACL可以根据数据包的源IP地址、目标IP地址、目标端口、源端口、数据包的长度值来定义规则 ...
华为eNSP配置标准ACL
嘻嘻哥哥~的博客
02-20 7138
int gi0/0/0 #进入接口gi0/0/0中。int gi0/0/0 #进入接口gi0/0/0中。int gi0/0/0 #进入接口gi0/0/0中。[R2]int GigabitEthernet 0/0/0 #进入接口gi0/0/0中。[R2]int GigabitEthernet 0/0/1 #进入接口gi0/0/1中。
华为——使用ACL限制内网主机访问外网网站示例
专研计算机网络,数据通信,网络安全,系统集成
12-26 2115
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
华为交换机ACL配置规则及实例
热门推荐
ChaseAug的博客
11-12 3万+
ACL(访问控制列表)的应用原则: 标准ACL,尽量用在靠近目的点 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 方向:在应用时,一定要注意方向 ACL分类 基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL #范围为3000~3999 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则 二层ACL #
acl3000和acl2000
Richardlygo的博客
07-24 6381
acl3000和acl2000
华为系列设备ACL配置和应用常见问题
永远是少年
07-03 7588
本文主要介绍华为系列设备在配置ACL的时候可能遇到的问题,由于是基于华为eNSP进行的实验,因此可能会与实际装备有所差异,但是特别适合使用eNSP模拟软件在配置ACL时遇到问题的同学,在阅读本文前,希望您能够对华为系列设备ACL配置和应用有着基本的了解。 ACL,access list,即访问控制列表,从字面上看,可以起到控制访问流量的作用。但是,ACL所做的只不过是按照规则进行流量的匹配,要想真正实现ACL配置,还需要配合其他的工具,比如traffic filter等等。经过本人实践,发现在ACL配置
eNSP—高级ACL配置
m0_46237205的博客
10-23 3998
实验拓扑图如下: 实验目的:只有192.168.3.0网段可以ping通server1 192.168.4.4 PC1的配置: PC2的配置: server1 的配置: 路由器AR1的配置: <Huawei>sys [Huawei]undo info-center enable [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24 [Huawei-GigabitEthernet0/0/0]undo
华为eNSP单臂路由配置实例
08-28
华为eNSP单臂路由配置实例 本文将详细介绍华为eNSP单臂路由配置实例,包括实验目的、实验拓扑、实验内容、实验步骤和实验要求等。 一、实验目的 本实验的目的是了解网络结构,掌握利用单臂路由实现vlan间通信。...
华为eNSP配置环境所需文件.RAR
10-18
华为eNSP配置环境所需文件。 eNSP-V100R003C00 SPC100(1.3.00.100) VirtualBox-5.2.44 WinPcap-4.1.3 Wireshark-3.6.8 (搭配之前发布的WIN11eNSP安装教程所用,其他Windows版本可参考部分。)
华为eNSP练习题(备考HCIE、HCIP专用).rar
09-08
本资源专门为华为HCIE备考人员准备,内含大量的HCIE实验,设计范围包括OSPF、IS-IS、BGP、IPv6、MPLS VPN、IPSEC VPN、VXLAN、L2TP、QoS、华为防火墙双机热备、华为防火墙虚拟系统等一共46个配置实验。可以供HCIE...
华为eNSP的静态路由和默认路由配置实例
08-28
华为eNSP静态路由和默认路由配置实例 华为eNSP静态路由和默认路由配置实例是指在华为eNSP网络设备上配置静态路由和默认路由的操作实例。下面将详细介绍静态路由和默认路由的概念、配置命令、实验拓扑图、实验内容和...
华为ensp中高级acl (控制列表) 原理和配置命令 (详解)
最新发布
博客之路,前途漫漫
04-06 5343
高级acl(Access Control List)是一种访问控制列表,可以根据数据包的源IP地址、目标IP地址、源端口、目标端口、协议、ICMP类型等多种因素进行过滤。高级acl比基本acl更加灵活,可以提供更细粒度的控制。
通过ACL(控制访问列表)实现简单的服务限制
Nyqfjgk的博客
05-26 205
IP地址规划完成并实现全网可达之后,对题目进行分析得出,该实验需要关注源IP地址、目标IP地址及目标端口;以上命令的意义,在于拒绝了源192.168.2.2对目标192.168.1.2的TCP下目标端口23访问,即拒绝telnet登录。要开启远程登录服务(telnet),首先要在R1和R2的aaa管理中定义登录的账号及密码(aaa是负责账号审计的服务)[R1]acl 3000 【启动ACL,编号为3000(扩展ACL的编号为3000-3999)】之后在管理接口上用认证模式为aaa审计。
ACL和NAT(附配置实例)超详细
这是博客的简介的简介
07-12 2974
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
华为ensp acl配置实验
12-14
ACL(Access Control List)是一种网络安全技术,用于控制网络流量,实现网络访问控制。为eNSP是一款网络仿真软件,可以用于模拟网络环境,进行ACL配置实验。下面是ACL配置实验的步骤: 1. 创建网络拓扑:在eNSP中创建网络拓,包括交换机、路由器和主机等设备。 2. 配置IP地址:为每个设备配置IP地址,使它们能够相互通信。 3. 配置ACL规则:根据实验需求,设计ACL规则,包括基本ACL和高级ACLACL规则可以根据源IP地址、目的IP地址、协议类型、端口号等条件进行匹配,从而实现对网络流量的控制。 4. 应用ACL规则:将ACL规则应用到相应的接口上,使其生效。 5. 测试ACL效果:通过发送数据包测试ACL规则的效果,验证ACL是否能够正确地控制网络流量。 下面是一个简单的ACL配置实验范例: 1. 创建网络拓扑:在eNSP中创建一个包含两台主机和一台路由器的网络拓扑。 2. 配置IP地址:为路由器和两台主机分别配置IP地址,使它们能够相互通信。 3. 配置ACL规则:设计一个基本ACL规则,允许主机A向主机B发送HTTP流量,禁止其他流量通过。ACL规则如下: ```shell acl number 2001 rule 5 permit source 192.168.1.2 0 destination 192.168.1.3 0 http rule 10 deny ``` 4. 应用ACL规则:将ACL规则应用到路由器的接口上,使其生效。假设路由器的接口为GigabitEthernet 0/0/1,应用ACL规则的命令如下: ```shell interface GigabitEthernet 0/0/1 ip address 192.168.1.1 24 traffic-filter inbound acl 2001 ``` 5. 测试ACL效果:在主机A上发送HTTP流量到主机B,验证ACL规则是否生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值