华为实验26--配置基本访问控制列表和高级访问控制列表

最新推荐文章于 2024-06-27 23:04:04 发布
最新推荐文章于 2024-06-27 23:04:04 发布
阅读量1.3k 收藏 14
点赞数 2
分类专栏: 网络 文章标签: 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yychentracy/article/details/120195665
版权

实验原理

ACL是由permit和deny语句组成的一系列有顺序的规则列表,这些规则根据数据包的源地址,目标地址,源端口,目的端口等信息来描述,ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。
根据访问控制列表的用途,可以分为基本的控制列表和高级的访问控制列表。

实验目的

理解访问控制列表的应用场景基本+高级
掌握配置访问控制列表的方法基本+高级

实验拓扑

在这里插入图片描述

实验步骤

1,基本配置,并测试联通性
2,搭建ospf网络

[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255

[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

[R4]ospf 1
[R4-ospf-1]area 0
[R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0

查看R1的路由表
在这里插入图片描述
查看R1的回环口和R4的环回口间的联通性
在这里插入图片描述
3,配置基本的acl访问控制
在R4上配置telnet,配置用户密码为huawei

[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei

在R1上建立telnet连接

<R1>telnet 4.4.4.4
  Press CTRL_] to quit telnet mode
  Trying 4.4.4.4 ...
  Connected to 4.4.4.4 ...

Login authentication

R1成功的登录到R4上
Password:
<R4>

继续尝试与网关设备R2建立连接

<R2>telnet 4.4.4.4
  Press CTRL_] to quit telnet mode
  Trying 4.4.4.4 ...
  Connected to 4.4.4.4 ...

Login authentication


Password:
<R4>

可以看得出,只要是路由可达的设备,拥有telnet密码,都可以成功的访问到核心设备R4,这是不安全的,所以现在需要配置访问控制。
基本的访问控制是基于数据包的源IP地址进行过略,在R4上建立一个acl指定规则ID 为5,允许数据包源地址为1.1.1.1的报文通过,反掩码为0

[R4]acl 2000
[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0

再配置一个id为10的,允许所有的都通过

[R4-acl-basic-2000]rule 10 deny source any

acl配置完成,在vty中调用,使用inbound参数,在R4的数据入方向调用。

[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 2000 inbound

此时用R1的回环地址访问R4,发现木有问题
在这里插入图片描述
使用R2访问4.4.4.4,发现无法访问,说明上述的acl配置是有效的在这里插入图片描述

4,基本的acl语法规则
acl执行试有顺序性的,如果配置了和前面矛盾的控制,是不会生效的,需要整个新命名ID,ID小于之前存在的矛盾规则,才可以生效。
查看R4的真个acl配置
在这里插入图片描述
上面的规则只允许R1访问,现在想要R3访问,使用规则ID15(大于矛盾规则ID =10)来添加访问规则

[R4]acl 2000
[R4-acl-basic-2000]rule 15 permit source 3.3.3.3 0

在这里插入图片描述
发现不可以,现在修改一下acl

[R4-acl-basic-2000]undo rule 15
[R4-acl-basic-2000]rule 8 permit source 3.3.3.3 0

可以访问
在这里插入图片描述

5,基本的acl只能控制源地址,高级acl编号范围为3000-3999 既可以使用报文的源ip地址,也可以使用目标地址,IP优先级,IP协议类型,ICMP包,
在R4添加一个还口地址

[R4]int lo 1
[R4-LoopBack1]ip add 40.40.40.40 32

[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
[R4-acl-adv-3000]dis acl all
 Total quantity of nonempty ACL number is 2 

Basic ACL 2000, 3 rules
Acl's step is 5
 rule 5 permit source 1.1.1.1 0 (1 matches)
 rule 8 permit source 3.3.3.3 0 
 rule 10 deny (12 matches)

Advanced ACL 3000, 1 rule
Acl's step is 5
 rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0

在R4上调用一下

[R4]user-interface vty 4
[R4-ui-vty4]acl 3000 inbound

此时,在R1上访问不了这个地址了
在这里插入图片描述
总结
acl配置会按照编号的顺序,小号的id已经配置的规则不允许大号的id改掉,基本的acl只对源ip地址有效,编号为2000-2999高级的acl对可以加上目的ip地址以及各种IP协议类型,优先级,ICMP类型,等等,编号为3000-3999.

沙雅云
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IT必备技能华为认证HCIA全集
11-03
华为网络基础课程一共51讲,介绍了网络中的规则,IP地址的应用,如何配置路由器进行数据传输,如何通过交换机组建企业内部局域网,如何保证网络安全等等。尽管这是一个入门课程,但是我相信对于任何一个想入行IT界的朋友们都是有帮助的,无论你是想做网络工程师、还是想做程序员、还是想了解一下计算机网络,这门课程的内容都是你需要知道的。 
信息安全等级保护测评师模拟考试
热门推荐
w1304099880的博客
06-02 1万+
信息安全等级保护测评师模拟试题 1.以下关于等级保护的地位和作用的说法中不正确的是( C ) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。
华为---配置基本访问控制列表(ACL)
最新发布
weixin_43773979的博客
06-27 1735
访问控制列表 ACL
华为HCIA进阶笔记:ACL 访问控制列表
君逍遥o
06-20 2761
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
访问控制列表(ACL)(华为配置实验
Xucf1
10-30 5382
文章目录前言一、ACL概述二、工作原理三、ACL类型四、eNSP配置 前言 前面我们学习了很多关于网络如何连接和通信的知识,今天来学习在网络连通环境基础上来进行相应的限制 因为在实际环境中网络管理员经常会面临左右为难的局面,如必须拒绝那些不希望的访问连接,同时又要允许正常的访问连接,以及连接里面可以有更加细化的限制 接下来要讲的ACL可以提供基本的通信流量过滤能力,从而满足上面的需求,解决实际工作中的问题 一、ACL概述 访问控制列表(Access Control List,ALT)是应用在路由器接口的
华为访问控制列表ACL)
acer12159的博客
11-21 2681
目录 ACL概述 访问控制列表在接口应用的方向 ACL的应用 ACL概述 访问控制列表ACL读取第三层、第四层包头信息,根据预先定义好的规则进行过滤.。 抓取的流量包含源地址、目标地址、源端口、目标端口、协议 这五个元素。 ACL是按照顺序执行,匹配上一条即执行,不会再继续向下匹配 (至少要放行一条流量), 访问控制列表在接口应用的方向 出:已经过路由器的处理,正离开路由器接口的数据包。 入:已经到达路由器接口的数据包,将被路由器处理。 入接口上调用ACL将会影响本地路
H3C交换机典型(ACL)访问控制列表配置实例
10-01
ACL(Access Control List,访问控制列表)是网络设备中用于定义数据包过滤规则的一种技术。在H3C交换机中配置ACL,可以实现对网络流量的精细控制,从而满足企业或组织对于网络访问权限的特定需求。 根据给出的文档...
高级访问控制列表1
08-08
实验主要探讨了高级访问控制列表(Advanced Access Control List, AACL)的应用,涉及了禁止特定主机和网络访问特定服务,如FTP和QQ,以及端口更改后的访问控制。以下是对实验内容的详细解释: 1. **FTP访问控制*...
HCNP-VLAN高级配置eNSP实验.zip
03-14
实验4:VLAN访问控制列表(ACL) VLAN访问控制列表是网络管理员用来控制VLAN内流量的一种工具。在这个实验中,你会学习如何创建和应用ACL,以限制特定VLAN内的数据流,实现对网络资源的访问控制和安全策略的实施。 ...
华为ACL-基础配置篇.docx
06-12
**访问控制列表(ACL)**是网络设备,如华为路由器,用于管理网络流量的重要工具。它基于预定义的规则来过滤数据包,允许或拒绝特定的网络通信。在华为路由器中,ACL主要用于实现网络安全、控制访问权限、优化带宽...
华为-访问控制列表
jzyue
06-12 439
标准访问列表格式: acl <acl-number> [match-order config|auto] ;默认前者顺序匹配。 rule [normal|special]{permit|deny} [source source-addr source-wildcard|any] 例: [Quidway]acl 10 [Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255 [Quidway-ac...
ACL访问控制(华为)
Jian Sun_的博客
07-30 9635
一、ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址...
高级ACL(访问控制列表)的配置
❤️遇见我 的博客
07-31 1543
高级ACL(访问控制列表)的配置 ,ensp华为web,ftp服务器配置
新手必看的ACL基本访问控制列表高级访问控制列表
02-18 5031
【温馨提示】需要资料或者需要进群交流划到最底部 ACL原理 ACL是什么 为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。这些规则就是通过访问控制列表(Access Control List)体现的。 访问控制列表根据IP报文的协议号、源地址、目标地址、源端口和目的端口的信息起到过滤数据报文的作用。 用户需要根据自己的安全策略来确定访问控制列表,并将其应用到整机或指定接口上,安全网关就会根据访问控制列表来检查所有接口或指定接口上的所有数据包,对于符合规则的报文作正.
华为-ACL访问控制列表
NoobMaster的博客
03-13 1578
ACL:access list 访问控制列表 acl 两种:基本acl(2000-2999):只能匹配源ip地址。 高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。 四个注意事项:注1:一个接口的同一个方向,只能调用一个acl 注2:一个acl里面可以有多个rule 规则,从上往下依次执行 注3:数据包一旦被某rule匹配,就不再继续...
华为HCIA-ACL实验
li_0808的博客
12-05 66
1.PC1可以telnet R1 但不能ping R1;PC1可以ping R2 但不能telnet R22.PC2不可以telnet R1 但能ping R1;PC2不可以ping R2 但能telnet R2。
案例34在华为设备上配置访问控制列表
qq_43416206的博客
11-02 243
规则的匹配顺序决定了规则的优先级,ACL 通过设置规则的优先级来处理规则之间重复或矛盾的情形。ACL 由一系列规则组成,通过将报文与 ACL 规则进行匹配,设备可以过滤出特定的报文、路由等,ACL的主要动作有 permit/deny 两种,表示允许(命中)/拒绝 (忽略)。访问控制列表(Access Control List,ACL)使用包过滤技术,在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等信息,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
超详细如何配置高级ACL
晚风挽着浮云的博客
11-25 8443
配置高级访问控制列表 原理概述: 基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级访问控制列表高级访问控制列表在匹配项上做了扩展,编号范围3000——3999,既可使用报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口,UDP源端口/目的端口号等信息来定义规则。 ...
华为网络实验配置访问控制列表ACL详解
"《华为基础实验》二十二 配置访问控制列表ACL" 访问控制列表(Access Control List,简称ACL)是网络设备如路由器、三层交换机等用于实现访问控制的一种技术。它通过检查数据包的特定信息,如源IP地址、目标IP地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值