本文共 2728 字,大约阅读时间需要 9 分钟。
华为网络设备-访问控制列表配置实验
作者: 赖裕鑫 排版: 赖裕鑫 审核: 蔡宗唐
访问控制列表ACL是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
配置设备IP地址
配置OSPF,使得网络路由可达
配置ACL,匹配特定流量。
配置流量过滤。
1.配置IP地址(端口和loopback口地址)
[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip add 192.168.10.1 24[R1-GigabitEthernet0/0/0]int lo 0[R1-LoopBack0]ip add 1.1.1.1 24[R2]int g0/0/0[R2-GigabitEthernet0/0/0]ip add 192.168.10.2 24[R2-GigabitEthernet0/0/0]int g0/0/1[R2-GigabitEthernet0/0/1]ip add 192.168.20.1 24[R2-GigabitEthernet0/0/1]int lo 0[R2-LoopBack0]ip add 2.2.2.2 24[R3]int g0/0/0[R3-GigabitEthernet0/0/0]ip add 192.168.20.2 24[R3-GigabitEthernet0/0/0]int lo 0[R3-LoopBack0]ip add 3.3.3.3 24
2.配置OSPF(使网络联通)
[R1]ospf[R1-ospf-1]area 0[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network 192.168.10.1 0.0.0.0[R2]ospf[R2-ospf-1]area 0[R2-ospf-1-area-0.0.0.0]network 192.168.10.2 0.0.0.0[R2-ospf-1-area-0.0.0.0]network 192.168.20.1 0.0.0.0[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0[R3]ospf[R3-ospf-1]area 0[R3-ospf-1-area-0.0.0.0]network 192.168.20.2 0.0.0.0[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
3.设置telnet登陆访问
[R3]telnet server enable //开启telnet功能[R3]user-interface vty 0 4 //设置进入vty登陆线程数量为5[R3-ui-vty0-4]set authentication password cipher huawei //配置认证密码模式为cipher,且密码为 huawei[R3-ui-vty0-4]user privilege level 3 //设置用户特权等级为3
4.配置访问控制(流量过滤)
[R3]acl 3000 //创建ACL控制列表,编号为3000 [R3-acl-adv-3000]rule 5 permit tcp source 1.1.1.1 0.0.0.0 destination 192.168.20.2 0.0.0.0 destination-port eq 23 //允许该流量通过[R3-acl-adv-3000]rule 10 deny tcp source any //拒绝源端的所有流量通过[R3-acl-adv-3000]q[R3-ui-vty0-4]acl 3000 inbound //设置ACL在线程内入境
[R3]display acl 3000 Advanced ACL 3000, 2 rules //高级访问控制列表编号3000,2条规则Acl's step is 5 //ACL步长为5rule 5 permit tcp source 1.1.1.1 0 destination 192.168.20.2 0 destination-port //允许该流量通过eq telnet (1 matches) //用于telnet或tcp端口为23(1个匹配值)rule 10 deny tcp (3 matches) //拒绝该流量通过
telnet登陆验证:
(由于与ACL3000的配置所匹配,所以R1得以通过telnet登陆到目的端R3,并能够远程更改R3的用户名)当R1用其他源IP登陆时,由于未与ACL配置所匹配,所以登陆错误:
一个ACL只能基于一种协议,因此每种协议都需要配置单独的ACL
经过路由器接口的数据有进(ln)和出(Out)两个方向,因此在接口上配置访问控制列表也有进(In)和出(Out)两个方向
每个接口可以配置进方向的ACL,也可以配置出方向的ACL,或者两者都配置,但是一个ACL只能控制一个方向
一个ACL只能控制一个接口上的数据流量,无法同时控制多个接口上的数据流量
在路由器上应用ACL时,可以为每种协议、每个方向和每个接口配置一个ACL,一般称为"3P原则"。除了可以用上文的方式,即以telnet方式配置ACL外,还可以在物理接口上配置ACL
转载地址:http://dzfsf.baihongyu.com/