ACL的基本概念与配置,高级ACL之ICMP、基本ACL之Telnet的实验与配置

已于 2023-12-15 09:04:15 修改
阅读量1k 收藏 15
点赞数 2
分类专栏: 网络基础概念与配置 文章标签: 网络 网络协议 信息与通信 运维
于 2023-12-15 09:02:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72194028/article/details/135008271
版权

目录

ACL概述

为什么会有ACL

如何解决这些问题

ACL是什么

ACL的作用

ACL类型

ACL组成

ACL匹配原则

通配符

ACL实验

基本ACL配置案例1

拓扑

需求

配置思路

配置步骤

配置命令

基本ACL配置案例2

拓扑

需求

配置思路

配置步骤

配置命令

高级ACL配置案例

拓扑

需求

配置思路

配置步骤

配置命令

高级ACL之ICMP

拓扑

需求

配置思路

配置步骤

配置命令

基本ACL之Telnet

拓扑

需求

配置步骤

配置命令

ACL概述

为什么会有ACL

随着网络的飞速发展,网络安全和网络质量问题日益突出

  • 企业重要服务器资源被随意访问,导致企业机密信息泄露
  • Internet病毒肆意侵略企业内网
  • 网络带宽被各类业务随意占用,导致重要的业务带宽得不到保障,用户上网体验差
如何解决这些问题

以上种种问题,对正常的网络通信造成了很大的影响,为了提高网络安全和网络质量,ACL问世

ACL是什么
  • ACL:访问控制列表
  • 是一个包含了多个“规则”的列表,不同规则通过 “规则号”进行区分
  • 每个“规则”都包含:动作+条件两部分内容
  • 动作分为:允许(permit)和拒绝(deny)
  • 条件分为:地址、端口、通配符
  • ACL本质上是一种报文过滤器,可以根据规则来过滤数据报文,比如允许数据通过,比如拒绝数据通过
ACL的作用
  • 对网络中数据报文进行过滤,做访问控制,
  • 提高内网安全性, 提高带宽利用率
ACL类型
  • 基本ACL:过滤三层数据报文

       ACL编号: 2000~2999 条件:源IP地址

  • 高级ACL:可以过滤三层数据报文也可以过滤四层数据报文

        ACL编号: 3000~3999 条件:五元组(源IP/目标IP/协议号/源端口/目标端口)

二层ACL :

        ACL编号: 4000~4999 用于匹配源MAC地址、目的MAC地址、802.1q优先级等

ACL组成
  • ACL编号用于标识ACL 基本:2000-2999 高级:3000-3999
  • 规则:即描述报文匹配条件的判断语句

&: 规则编号:用于标识规则,范围: 0~4294967294

&:动作:包括permit/deny两种动作,表示允许/拒绝

&:匹配项:地址、端口、通配符····

ACL匹配原则
  • 根据ACL规则编号从小到大匹配(编号越小越优先被匹配)
  • 匹配即停止(匹配上了第一条规则,就按照规则的动作去执行,不在向下查找第二条规则)
  • 如果数据报文没有匹配到第一条规则,继续向下查找第二条规则,如果匹配,则按照第二条规则的动作去执行
  • 如果所有的规则都无法匹配,则执行隐含规则
  • 隐含规则(默认规则):隐含规则有两个一个允许所有,一个拒绝所有

&:允许所有:只要使用traffic-filter调用ACL规则时默认规则是允许所有

&:拒绝所有:只要不使用traffic-filter调用ACL就是拒绝所有

通配符
  • 使用源/目的IP地址定义为规则的匹配项时,需要在IP地址后面指定通配符掩码,确定一个地址范围
  • IP地址通配符掩码与IP地址的反掩码类似,也是一个32比特位的数字字符串
  • IP地址通配符掩码的作用是,定义IP地址中的哪些位将被检查
  • IP地址通配符掩码也是有0和1组成的,“0”表示“检查相应的位”,“1”表示“不检查相应的位,总结:“检查0,忽略1”
  • 举例:

找老婆要求: 女 18岁 漂亮 有钱 0.0.0.0 {4个字段全部检查}

找老婆要求: 女 18岁 漂亮 有钱 0.0.0.255 {只检查前3个字段}

找老婆要求: 女 18岁 漂亮 有钱 0.0.255.255 {只检查前2个字段}

找老婆要求: 女 18岁 漂亮 有钱 0.255.255.0 {检查第1和第4个字段}

找老婆要求: 女 18岁 漂亮 有钱 255.0.0.255 {检查第2和第3个字段}

192. 168. 1. 0 0.0.0.255{通配符:只检查前面3个字段}

前面 必须是192.168.1 后面不检查

ACL实验

基本ACL配置案例1

拓扑

需求
  • PC1不能访问Server1
  • PC2可以访问Server1
  • 允许其他所有流量互通(允许PC1访问PC2)
配置思路

-分析PC1和Server1的数据转发路径

-判断在那个设备上配置ACL

-判断在那个接口上调用ACL

配置步骤

第一步:配置PC和Server的IP地址,掩码,网关

第二步:配置ACL

-配置R1的接口IP地址

-在R1中配置基本ACL(拒绝192.168.1.0/24 访问server1)

-在R1的g0/0/0调用ACL

第三步:验证与测试

PC1不能访问Server1

PC2可以访问Server1

配置命令
第一步:配置PC1/2和Server1的IP地址,掩码,网关

第二步:在R1中配置ACL 
 R1配置: 
[R1]int g0/0/0
[R1-G0/0/0]ip address 192.168.100.254 24
[R1-G0/0/0]int g0/0/1
[R1-G0/0/1]ip address 192.168.1.254 24
[R1-G0/0/1]int g0/0/2
[R1-G0/0/2]ip address 192.168.2.254 24
[R1-G0/0/2]quit
[R1]acl 2000     //创建基本ACL 
[R1-acl-basic-2000]rule 10 deny source 192.168.1.0  0.0.0.255   //配置基本ACL规则 
[R1-acl-basic-2000]quit
[R1]int g0/0/0
[R1-G0/0/0]traffic-filter outbound acl 2000     //在接口上调用ACL对数据报文进行过滤 

 第三步:测试与验证 
PC1 ping  Server1  不通
PC2 ping  Server1  通
PC1 ping  PC2      通

[R1]display acl  all   //查看acl
 [R1]display traffic-filter applied-record   //查看acl调用信息 

====================================================================
 备注1:命令解析 
acl 2000   
   rule 10 deny source 192.168.1.0  0.0.0.255
 
 字段解析: 
acl 2000 :表示的ACL的名字,代表是基本ACL
rule 10 :表示的是规则10  (10代表规则的编号)
deny : 表示的是动作,deny代表拒绝
source : 表示的源,在当前规则中代表的是源IP地址
192.168.1.0  :在当前规则中代表的是源IP地址段
0.0.0.255 :表示的通配符,在当前规则中代表,检查的字段是192.168.1 (前三个字段)

 备注2:命令解析 
int g0/0/0
traffic-filter outbound acl 2000

 字段解析: 
traffic-filter :表示的是流量过滤
outbound :表示的是出方向上过滤数据报文

 备注:
一个接口的同一个方向上只能调用基于一个ACL进行报文过滤
如果要进行更改,则要先undo原来调用的acl

基本ACL配置案例2

拓扑

需求
  • 不允许售后部主机(192.168.1.0/24)访问财务服务器
  • 允许售后部主机访问公司其他主机
配置思路

-实现全网互通

-确定售后部和财务服务器之间的数据的转发路径

-确定配置ACL的设备

-确定调用ACL的端口

配置步骤

第一步:配置PC1/PC2/Server1的IP地址,掩码,网关

第二步:配置交换机SW1/SW2

-创建VLAN,接口加入VLAN

第三步:配置路由,让网络互通

-配置R1和R2的接口IP地址

-在R1中配置默认路由,下一跳为192.168.12.2

-在R2中配置静态路由,下一跳为192.168.12.1

第四步:在R2中配置ACL

-在R2中配置基本ACL(拒绝售后部主机访问财务服务器)

-在R2的g0/0/2接口的出方向,调用基本ACL

第五步:测试与验证

配置命令
第一步:配置PC1/PC2/Server1的IP地址,掩码,网关 

 第二步:配置交换机SW1/SW2 
 SW1配置: 
[SW1]vlan 10
[SW1-vlan10]quit
[SW1]port-group group-member g0/0/1 g0/0/2
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 10

 SW2配置: 
[SW2]vlan 20
[SW2-vlan20]quit
[SW2]port-group group-member g0/0/1 g0/0/2
[SW2-port-group]port link-type access
[SW2-port-group]port default vlan 20

 第三步:配置路由,让网络互通 
 R1配置: 
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0 192.168.12.2   //配置默认路由 

 R2配置: 
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R2-GigabitEthernet0/0/2]quit
[R2]ip route-static 192.168.1.0 24 192.168.12.1    //配置静态路由 

 第四步:在R2中配置ACL 
[R2]acl 2000    //创建基本ACL 
[R2-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255     //配置ACL规则 
[R2-acl-basic-2000]quit
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000    //调用ACL 


 总结:
调用基本ACL,尽量在离目标近的接口上调用,避免数据被误杀
调用高级ACL,尽量离源近的接口上调用,避免无效的流量占用有限的带宽 


 第五步:测试与验证 
PC1 ping  财务服务器-server1  不通
PC2 ping  财务服务器-server1  通
PC1 ping  PC2  通

在R1中测试网络连通性
[R1]ping -a 192.168.1.254 192.168.3.1   不通
[R1]ping -a 192.168.12.1  192.168.3.1   通

在R2中查看acl规则和接口调用信息
<R2>display acl  all    //查看acl信息 
<R2>display traffic-filter applied-record    //查看acl调用信息

高级ACL配置案例

拓扑

需求

-售后部主机Client1仅能访问 Server1上的Web服务

-售后部主机Client1可以访问行政部的所有主机的所有服务

-售后部主机Client1不能访问网络中的其他主机

配置思路

-实现全网互通

-分析数据转发路径

-确定ACL的类别(基本&高级)

-确定配置ACL的设备

-确定调用ACL的端口

配置步骤

第一步:配置Client1/PC1/Server1的IP,掩码,网关

-开启server1的web服务

第二步:配置路由,让网络互通

-配置R1/R2/R3的接口IP地址

-在R1中配置默认路由,下一跳为192.168.12.2

-在R2中配置去往192.168.1.0/24的静态路由,下一跳为192.168.12.1

-在R2中配置去往192.168.3.0/24的静态路由,下一跳为192.168.23.3

-在R3中配置默认路由,下一跳为192.168.23.2

第三步:在R1中配置ACL

-在R1中配置高级ACL

&:允许源售后部主机访问目标服务器server1的web服务

&:允许源售后部主机访问目标行政部的主机

&:拒绝源售后部主机访问网络中其他任何主机

-在R1的g0/0/2接口的入方向,调用高级ACL

第四步:测试与验证

配置命令
第一步:配置Client1/PC1/Server1的IP,掩码,网关

第二步:配置路由,让网络互通 
 R1配置: 
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit
[R1]ip route-static 0.0.0.0 0 192.168.12.2

 R2配置: 
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2]quit
[R2]ip route-static 192.168.1.0 24 192.168.12.1
[R2]ip route-static 192.168.3.0 24 192.168.23.3


 R3配置: 
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/0]int g0/0/2
[R3-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit
[R3]ip route-static 0.0.0.0  0 192.168.23.2

 第三步:在R1中配置ACL 
 R1配置: 
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192
.168.3.1 0 destination-port eq www
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.
168.2.0 0.0.0.255  
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
[R1-acl-adv-3000]quit
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
 
总结: 
 调用基本ACL,尽量在离目标近的接口上调用,避免数据被误杀
调用高级ACL,尽量离源近的接口上调用,避免无效的流量占用有限的带宽 

 命令解析: 
acl 3000  :高级acl 
rule 10  :规则10 
permit  :允许 
tcp  :tcp协议 
ip  : ip协议 
source  :源 
192.168.1.0  :源IP地址 
0 : 通配符:0代表绝对匹配,代表唯一的一个IP地址 
destination  :目标 
192.168.3.1  0  :目标IP地址,通配符为 0 
destination-port  :目标端口 
eq  :等于 
www  :web服务 
any : 表示所有IP地址 
inbound  :入向流量 

 备注: 
如果是对售后部所有主机做规则,这样配置写通配符
rule 10 permit tcp source  192.168.1.0 0.0.0.255  
rule 20 permit ip source  192.168.1.0 0.0.0.255  
rule 30 deny ip source  192.168.1.0 0.0.0.255 

如果是仅仅对售后部PC1做规则,这样配置写通配符
rule 10 permit tcp source  192.168.1.1 0  
rule 20 permit ip source  192.168.1.1 0 
rule 30 deny ip source  192.168.1.1 0 

 第四步:验证与测试 
client1 可以访问server1的web服务
client1 可以ping 通 192.168.2.0/24 的主机
client1 不能ping 通 server1 (192.168.3.1)
client1 不能ping 通 192.168.12.1
client1 不能ping 通 192.168.12.2
client1 不能ping 通 192.168.23.2
client1 不能ping 通 192.168.23.3
client1 不能ping 通 192.168.3.254

高级ACL之ICMP

拓扑

需求

-售后部主机Client1 仅仅能ping通 Server1,不能访问server1其他服务

-售后部主机Client1可以访问行政部的所有主机的所有服务

-售后部主机Client1不能访问网络中的其他主机

配置思路

-实现全网互通

-分析数据转发路径

-确定ACL的类别(基本&高级)

-确定配置ACL的设备

-确定调用ACL的端口

配置步骤

第一步:配置Client1/PC1/Server1的IP,掩码,网关

-开启server1的web服务

第二步:配置路由,让网络互通

-配置R1/R2/R3的接口IP地址

-在R1中配置默认路由,下一跳为192.168.12.2

-在R2中配置去往192.168.1.0/24的静态路由,下一跳为192.168.12.1

-在R2中配置去往192.168.3.0/24的静态路由,下一跳为192.168.23.3

-在R3中配置默认路由,下一跳为192.168.23.2

第三步:在R1中配置ACL

-在R1中配置高级ACL

&:允许源售后部主机能ping 通目标服务器server1,但是不能访问server1 的其他服务

&:允许源售后部主机访问目标行政部的主机

&:拒绝源售后部主机访问网络中其他任何主机

-在R1的g0/0/2接口的入方向,调用高级ACL

第四步:测试与验证

配置命令
第一步:配置Client1/PC1/Server1的IP,掩码,网关
第二步:配置路由,让网络互通 
 R1配置: 
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit
[R1]ip route-static 0.0.0.0 0 192.168.12.2

 R2配置: 
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2]quit
[R2]ip route-static 192.168.1.0 24 192.168.12.1
[R2]ip route-static 192.168.3.0 24 192.168.23.3

 R3配置: 
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/0]int g0/0/2
[R3-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit
[R3]ip route-static 0.0.0.0  0 192.168.23.2

 第三步:在R1中配置ACL 
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0 
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255  
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
[R1-acl-adv-3000]quit

[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000

 备注: 
如果是对售后部所有主机做规则,这样配置写通配符
rule 10 permit tcp source  192.168.1.0 0.0.0.255  
rule 20 permit ip source  192.168.1.0 0.0.0.255  
rule 30 deny ip source  192.168.1.0 0.0.0.255 

如果是仅仅对售后部PC1做规则,这样配置写通配符
rule 10 permit tcp source  192.168.1.1 0  
rule 20 permit ip source  192.168.1.1 0 
rule 30 deny ip source  192.168.1.1 0 

 第四步:验证与测试 
client1 可以ping 通server1 (192.168.3.1)
client1 可以ping 通 192.168.2.0/24 网段内的主机
client1 不能访问 server1 的其他任何服务,比如web服务
client1 不能ping 通 192.168.12.1
client1 不能ping 通 192.168.12.2
client1 不能ping 通 192.168.23.2
client1 不能ping 通 192.168.23.3
client1 不能ping 通 192.168.3.254

基本ACL之Telnet

拓扑

需求
  • 为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE
  • 仅仅允许 192.168.1.254 远程登录 R2,拒绝其他所有IP地址
  • 拒绝 R1的任何IP地址远程登录 R3,其他设备都可以
配置步骤

第一步:配置路由,让网络互通

-配置R1/R2/R3的接口IP地址

-在R1中配置默认路由,下一跳为192.168.12.2

-在R2中配置去往192.168.1.0/24的静态路由,下一跳为192.168.12.1

-在R2中配置去往192.168.3.0/24的静态路由,下一跳为192.168.23.3

-在R3中配置默认路由,下一跳为192.168.23.2

第二步:配置Telnet 远程

-R2/R3开启远程,远程密码:HCIE

第三步:在R2中配置基本ACL

-在R2配置基本ACL,允许源IP:192.168.1.254 远程登录R2 ,拒绝其他IP远程

-在R2的vty 虚接口调用ACL

第四步:在R3中配置基本ACL

-在R3配置基本ACL,拒绝源IP:192.168.1.254 远程登录R3

-在R3配置基本ACL,拒绝源IP:192.168.12.1 远程登录R3

-在R3配置基本ACL,允许其他所有IP地址远程登录R3

-在R3的vty 虚接口调用ACL

第五步:测试与验证

配置命令
第一步:配置路由,让网络互通 
 R1配置: 
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2]quit
[R1]ip route-static 0.0.0.0 0 192.168.12.2

 R2配置: 
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2]quit
[R2]ip route-static 192.168.1.0 24 192.168.12.1
[R2]ip route-static 192.168.3.0 24 192.168.23.3


 R3配置: 
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/0]int g0/0/2
[R3-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2]quit
[R3]ip route-static 0.0.0.0  0 192.168.23.2

 第二步:配置Telnet远程 
 R2配置: 
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode password 
[R2-ui-vty0-4]protocol inbound all
Please configure the login password (maximum length 16): HCIE 

 R3配置: 
[R3]user-interface vty 0 4 
[R3-ui-vty0-4]authentication-mode password 
[R3-ui-vty0-4]protocol inbound all
Please configure the login password (maximum length 16): HCIE 

 第三步:R2配置基本ACL 
 R2配置: 
[R2]acl 2000
[R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0 
[R2-acl-basic-2000]quit
[R2]user-interface vty 0 4
[R2-ui-vty0-4]acl 2000 inbound     //在vty虚接口调用acl 

 第四步:R3配置基本ACL 
 R3配置: 
[R3]acl 2000
[R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0
[R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0
[R3-acl-basic-2000]rule 30 permit source any
[R3-acl-basic-2000]quit 
[R3]user-interface vty 0 4 
[R3-ui-vty0-4]acl 2000 inbound     //在vty虚接口调用acl 

 隐含规则:
&:允许所有:只要使用taffic-filter调用ACL规则时默认规则是允许所有
&:拒绝所有:只要不使用taffic-filter调用ACL就是拒绝所有 

 备注:使用ACL去过滤telnet 报文的时候,选择在vty 虚接口调用
如果路由器配置了多个接口IP地址,做ACL调用的时候要在每一个接口调用,非常麻烦
所以使用ACL过滤telent报文时,建议在user-interface vty 0 4 接口下调用 

 第五步:测试与验证 
 R1的192.168.1.254  可以远程R2的任意一个IP地址 
<R1>telnet -a 192.168.1.254  192.168.12.2(R2) 可以成功
<R1>telnet -a 192.168.1.254  192.168.23.2(R2) 可以远程
<R1>telnet -a 192.168.1.254  192.168.2.254(R2) 可以远程


 R1的192.168.12.1  无法远程R2 
<R1>telnet -a 192.168.12.1  192.168.12.2(R2) 无法远程
<R1>telnet -a 192.168.12.1  192.168.23.2(R2) 无法远程
<R1>telnet -a 192.168.12.1  192.168.2.254(R2) 无法远程

 R2可以远程R3 
<R2>telnet 192.168.23.3 (R3)可以远程


 R3无法远程R2 
<R3>telnet 192.168.23.2 (R2)无法远程

 R1无法远程R3 
<R1>telnet -a 192.168.12.1  192.168.23.3(R3) 无法远程
<R1>telnet -a 192.168.12.1  192.168.3.254(R3) 无法远程
实验1_配置标准IPv4 ACL
IT_zhangsan
06-18 641
通过本实验可以掌握:配置IPv4 ACL实验拓扑如图9-2所示 配置 ACL 实验拓扑如下图所示。本实验中,通过配置标准 ACL 实现拒绝 PC2 所在网段访问 Server1,同时只允许主机 PC1 访问路由器 R1、R2 和 R3 的 Telnet 服务,实现对路由器进行远程管理。整个网络配置RIPv2路由协议保证 IP 的连通性。(1)配置路由器R1 (2)配置路由器R2 (3)配置路由器R3 4、实验调试 (1)Telent测试 除了PC1主机上Tel
高级ACL配置
weixin_50339233的博客
05-21 5769
搭建top PC1配置IP PC2配置IP Server1配置IP Server2配置IP R1的配置 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 10.1.1.254 24 初始情况下PC1和PC2都能够访问server1和server2 一.
ACL相关配置案例!
guguai7的博客
04-14 382
实验 实验要求 全网互通 配置acl使得vlan10和vlan20不通 配置acl使得R1不能访问server
ACL配置
Ljw3187136228的博客
06-14 2808
一、引言随着网络技术的不断发展,网络安全问题日益突出。在网络通信中,访问控制列表(Access Control List,简称ACL)作为一种重要的安全机制,被广泛应用于路由器、交换机、防火墙等网络设备中,用于控制数据包的访问权限,确保网络通信的安全性和可靠性。本文将对ACL配置进行详细介绍,包括ACL基本原理、分类、配置方法、应用原则及注意事项等方面,旨在为读者提供一份全面、深入的ACL配置指南。二、ACL概述ACL是一种网络安全技术,用于控制数据包的访问权限。
haproxy-ACL基础配置及案例
最新发布
obboda的博客
02-28 568
访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,比如允许其通过或丢弃。定义ACL匹配规范,即:判断条件ACL匹配模式ACL 操作符。
高级ACL配置实验
lwljh134的博客
09-20 2163
分析:PC2访问PC1的流量到达了PC1,PC1的回应包到达了R1的g0/0/0然后丢弃,这样会浪费带宽,所以要加上ACL 3001,这样PC2访问PC1的流量在R1的g0/0/1上就丢弃了。:指定ACL规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。:指定ACL规则匹配报文时,区分服务代码点(Differentiated Services Code Point),取值为:0~63。:指定ACL规则匹配报文时,依据服务类型字段进行过滤,取值为:0~15。
ACL和NAT(附配置实例)超详细
这是博客的简介的简介
07-12 4711
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL(访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
掌握ACL配置方法
12-18
配置扩展ACL基本步骤标准ACL类似,但在定义规则时可以指定更多的匹配条件,如: - `permit tcp any host 1.1.1.1 eq 80`:允许所有IP地址到1.1.1.1的TCP端口80(HTTP)的连接。 - `deny icmp any any`:拒绝...
华为eNSP—ACL访问控制实验(含高级ACL基本配置
weixin_45745641的博客
12-10 5199
配置OSPF实现全网互通 配置ACL,实现PC1不能访问PC2,但可以正常访问PC3 PC2不能访问PC3 实验步骤 配置PC1-PC3 IP地址 ​ 配置AR1 ip [AR1]int g 0/0/0 [AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [AR1-GigabitEthernet0/0/0]int
配置高级ACL案例
WFlySky的博客
11-07 5629
前提条件 •如果配置基于时间的ACL,则需创建生效时间段,并将其ACL规则关联起来。 背景信息 高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 高级ACL基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。 操作步骤 1、执行命令system-view,进入系统视图。 2、创建高级ACL。可使用编号或者名称两种方
ACL配置实验.pdf
10-31
ACL配置实验实验主要学习了访问控制列表(ACL)的配置和应用,了解包过滤防火墙的工作原理,並实践了标准ACL和扩展ACL配置。 一、实验目的: * 深入理解包过滤防火墙的工作原理 * 了解标准ACL和扩展ACL的...
华为高级ACL配置.topo
08-27
实验名称:华为高级ACL配置 需求: 1)允许Client1访问Server1的Web服务 2)允许Client1访问网络192.168.2.0/24 3)禁止Client1访问其它网络
高级ACL(访问控制列表)的配置
❤️遇见我 的博客
07-31 1755
高级ACL(访问控制列表)的配置 ,ensp华为web,ftp服务器配置
ACL配置实例
weixin_33858336的博客
12-25 315
ACL配置实例: ACL对于网络管理员来说,是一个很重要的保障网络安全的利器,而且方便灵活,配置也比较简单,所以一个好的网络管理员必须能熟练的写出一些常用的ACL!这次我所介绍的,都是一些企业常见ACL应用实例,掌握了这几条,基本就可以应用于实际工作中了。那么,ACL到底是什么呢?它是访问控制列表,其原理是使用包过滤技术,在路由器上读取OSI 7层模型的第3,4层包头中的信...
访问控制列表(ACL配置实例
weixin_33671935的博客
08-24 472
1)访问控制列表(ACL)的工作原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。2)拓扑图3)组网要求1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;2.要求配置高级访问控制...
配置高级ACL
qq_36963043的博客
06-27 463
配置高级ACL 2.1 问题 如图配置IP地址 允许Client1访问Server1的Web服务 允许Client1 访问网络 192.168.2.0/24 禁止Client1 访问其他网络 2.2 方案 搭建实验环境,如图-2所示。 图-2 2.3 步骤 实现此案例需要按照如下步骤进行。 1)配置终端设备 - Client1 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 2)配置终端设备 - PC1 地址:192.168.2.1
华为[ENSP]ACL配置实例(访问控制列表配置实例)
热门推荐
weixin_62594100的博客
04-03 3万+
华为[ENSP]ACL配置实例(访问控制列表配置实例)
ZXR10 ACL原理配置详解
理解了ACL基本概念和工作原理后,可以通过以下步骤进行配置: 1. 定义ACL,指定匹配条件。 2. 将定义好的ACL应用到特定的接口或服务。 3. 调整规则顺序以达到期望的控制效果。 通过深入学习和实践,网络管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网工—tea

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值