设为首页收藏本站
开启辅助访问
ensp ACL访问控制列表配置 您所在的位置:网站首页 ensp路由器的基本配置步骤 ensp ACL访问控制列表配置

ensp ACL访问控制列表配置

2024-02-14 19:23| 来源: 网络整理| 查看: 265

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全

-----------来源百度百科

ACL的分类 基本ACL(2000-2999)根据源地址来进行访问控制高级ACL(3000-3999)可以根据源地址、目标地址、源端口号等来进行访问控制 基本ACL的配置 注:我们在不管在配置什么ACL的时候,需先保证全网互通,然后在根据需要来进行设置ACL访问控制

网络结构拓扑图 在这里插入图片描述

全网互通配置

AR1路由器的配置

[Huawei]sysname AR1 //修改设备名称为AR1 [AR1]int g0/0/2 //进入路由器和内网相连的端口 [AR1-GigabitEthernet0/0/2]ip address 192.168.1.254 24 ``` //将这个端口的IP地址设置为内网主机的网关IP地址 [AR1]int g0/0/0 //进入路由器与路由相连的端口 [AR1-GigabitEthernet0/0/0]ip address 10.1.1.1 24 [AR1]ip route-static 192.168.2.0 24 10.1.1.2 //配置静态路由往另一个网段

AR2路由器的配置

[Huawei]sysname AR2 //设备更名 [AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置IP地址为内部主机的网关IP地址 [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip address 10.1.1.2 24 [AR2]ip route-static 192.168.1.0 24 10.1.1.1 //配置静态路由

连通测试 在这里插入图片描述

基本ACL的配置 要求:访问控制在AR2上进行,192.168.1.1的主机不能够和192.168.2.1通信,192.168.1.2可以和192.168.2.1通信

AR2上的配置

[AR2]acl 2001 //创建基本ACL [AR2-acl-basic-2001]rule deny source 192.168.1.1 0 //设置ACL的规则为拒绝源地为192.168.1.1的主机通过 [AR2]int g0/0/1 //进入路由器和内部主机连接的端口 [AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 //将ACL2001应用于这个端口上 注:source 后面地址的写法 1.网段写法(192.168.1.0 0.0.0.255 )子网掩码必须这样写才能够识别为192.168.1.0网段,否则就识别为192.0.0.0网段,其他段的写法也是如此 2.单个IP地址的写法(192.168.1.1 0 ) 写一个IP地址,在后面加个0即可 Inbound和outbound的区别: 1.inbound就是数据包进入路由,可以在端口设置拒绝或者允许数据包经过 2.outbound就是数据包已经存在于路由器当中,现在想从路由器中出去,我们可以在端口设置拒绝或者允许数据包从路由器中出去

验证测试 PC1 ping PC3 在这里插入图片描述 PC2 ping PC3 在这里插入图片描述

高级ACL的配置 要求:(全部访问控制均在AR2上完成) 1.在 AR2 配置Telnet远程登录,在外部真实的win7上不能够远程登录 2.client1 客户端 不能够ping通 server1 ,但是可以访问server的网页

网络结构拓扑图 (基于上面的那个图做了一些修改,基本的IP地址配置以及路由是一样的) 在这里插入图片描述

AR2路由器配置Telnet服务器 [AR2]user-interface vty 0 4 //配置有多少个用户可以同时登录到Telnet服务端 [AR2-ui-vty0-4]authentication-mode aaa //验证方式设置为aaa验证 [AR2]aaa //进入aaa视图 [AR2-aaa]local-user jiangwang password cipher 123 privilege level 3 //设置登录的用户名以及密码,然后在设置这个用户对设备的操作级别 Info: Add a new user. [AR2-aaa]local-user jiangwang service-type telnet //将这个用户应用于Telnet远程登录

登录验证 在win7 的客户端输入 Telnet+路由器的IP地址 即可进入登录界面 在这里插入图片描述 AR2上配置ACL访问控制 要求让win7客户端不能够远程登录AR2路由器

[AR2]acl 3001 //配置高级ACL [AR2-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 10.1.1.2 0 destination-port eq telnet 注:Telnet 是基于tcp的23号端口的,这个代码意思是拒绝192.168.1.10的主机使用远程登录连接到10.1.1.2 [AR2]int g0/0/0 //进入路由器和路由器相连的端口 [AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001 //将端口设置为拒绝数据包进入路由器 注:和端口做对比 如等于23 等等 eq 等于 gt 大于 lt 小于 range 两者之间

验证测试 在这里插入图片描述

client访问server网页配置

要求:client可以访问到server网页,但是不能够和server建立通信 client 正常情况下连通测试server 在这里插入图片描述 配置ACL

[AR2]acl 3002 //配置高级ACL [AR2-acl-adv-3002]rule deny icmp source 192.168.1.20 0 destination 192.168.2.10 0 //设置ACL拒绝源地址为1.20的icmp包访问2.10 [AR2]int g0/0/1 //进入路由器和内网相连的端口 [AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 3002 //将端口应用于ACL 3002

配置server服务器 在这里插入图片描述 client访问测试 连通测试失败 在这里插入图片描述 访问网页 在这里插入图片描述

以上就是 ensp ACL访问控制列表的配置,如有错误,还望指出



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有