华为eNSP配置访问控制列表ACL

其他 2021-01-26 10:12:35 阅读次数: 0

华为eNSP配置访问控制列表ACL

访问控制列表ACL:access control list。ACL有两种:
1.基本ACL(2000-2999):只能匹配IP地址。
2.高级ACL(3000-3999):可以匹配IP、目标IP、源端口、目标端口等三层和四层的字段。
一个接口的同一个方向,只能调用一个ACL。
一个ACL里面可以有多个rule规则,从上往下依次执行,数据包一旦被rule匹配,就不再继续向下匹配。
华为ACL拒绝数据包时,默认配置是放过所有的数据。
华为模拟器Router不支持ACL,可以选择AR2220路由器。
ACL拓扑图

一、配置路由器R1和R2接口

[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[R1]interface gi0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.10.254 24
save

[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]ip address 172.16.10.254
配置两端缺省路由,使得任意两台PC互相连通。
[R1]ip route-static 0.0.0.0 0 12.1.1.2
[R2]ip route-static 0.0.0.0 0 12.1.1.1
ping测试如下图所示:
ACL联通测试

二、基本ACL配置

R2路由器拒绝PC1192.168.10.1主机访问172.16.10.X网段
[R2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)
INTEGER<4000-4999> Specify a L2 acl group
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[R2]acl 2000 #建立访问控制列表2000
[R2-acl-basic-2000]rule deny source 192.168.10.1 ?
IP_ADDR<X.X.X.X> Wildcard of source
0 Wildcard bits : 0.0.0.0 ( a host )
[R2-acl-basic-2000]rule deny source 192.168.10.1 0
#拒绝192.168.10.1的主机访问路由器R2,0表示精确匹配
[R2-acl-basic-2000]dis this
#自动加的rule 5表示执行序号,越小越优先执行,默认第一条规则顺序编号是5,第二条是10。

[V200R003C00]

acl number 2000
rule 5 deny source 192.168.10.1 0

return
system-view
[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 #从入接口调用ACl2000
inbound和outbound取决于IP地址和路由器接口。
[R2-acl-basic-2000]undo rule 10 #取消配置rule10执行序号
[R2-GigabitEthernet0/0/0]undo traffic-filter inbound #取消之前的配置接口ACL

三、高级ACL配置

(一)在R2上配置高级ACL拒绝PC1和PC2 ping server1,但是允许其HTTP访问Server1。

[R2]acl 3000
[R2-acl-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16
.10.1 0
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #从入接口调用ACl3000
服务器172.16.10.1 的HTTP配置如图所示:
服务器配置
客户端192.168.10.1 的连接配置如图所示,获取到数据表示HTTP连接成功。
客户端连接成功

(二)拒绝源地址192.168.10.2 telnet访问12.1.1.2

[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]undo traffic-filter inbound #取消之前配置的ACL配置
[R2]acl 3001
[R2-acl-adv-3001]rule deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 dest
ination-port eq 23(telnet) #eq是等于的意思,23可换成telnet

猜你喜欢

转载自blog.csdn.net/qq_27383609/article/details/112915691
今日推荐
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
周排行
[编程题]学英语
[codeforces 1288A] Deadline 约数+模
Python的web开发
Docker在Centos 7上的部署
python编码
解决Ubuntu16.04 fatal error: json/json.h: No such file or directory
mysql并发插入
rest接口如何适应jsonp的方案
linux 终端上网设置
高数——等号两边同时求导、积分的解释
每日归档
更多
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022