ensp ACL访问控制列表配置 | 您所在的位置:网站首页 › ensp路由器的基本配置步骤 › ensp ACL访问控制列表配置 |
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全 -----------来源百度百科 ACL的分类 基本ACL(2000-2999)根据源地址来进行访问控制高级ACL(3000-3999)可以根据源地址、目标地址、源端口号等来进行访问控制 基本ACL的配置 注:我们在不管在配置什么ACL的时候,需先保证全网互通,然后在根据需要来进行设置ACL访问控制网络结构拓扑图 AR1路由器的配置 [Huawei]sysname AR1 //修改设备名称为AR1 [AR1]int g0/0/2 //进入路由器和内网相连的端口 [AR1-GigabitEthernet0/0/2]ip address 192.168.1.254 24 ``` //将这个端口的IP地址设置为内网主机的网关IP地址 [AR1]int g0/0/0 //进入路由器与路由相连的端口 [AR1-GigabitEthernet0/0/0]ip address 10.1.1.1 24 [AR1]ip route-static 192.168.2.0 24 10.1.1.2 //配置静态路由往另一个网段AR2路由器的配置 [Huawei]sysname AR2 //设备更名 [AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置IP地址为内部主机的网关IP地址 [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip address 10.1.1.2 24 [AR2]ip route-static 192.168.1.0 24 10.1.1.1 //配置静态路由连通测试 AR2上的配置 [AR2]acl 2001 //创建基本ACL [AR2-acl-basic-2001]rule deny source 192.168.1.1 0 //设置ACL的规则为拒绝源地为192.168.1.1的主机通过 [AR2]int g0/0/1 //进入路由器和内部主机连接的端口 [AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 //将ACL2001应用于这个端口上 注:source 后面地址的写法 1.网段写法(192.168.1.0 0.0.0.255 )子网掩码必须这样写才能够识别为192.168.1.0网段,否则就识别为192.0.0.0网段,其他段的写法也是如此 2.单个IP地址的写法(192.168.1.1 0 ) 写一个IP地址,在后面加个0即可 Inbound和outbound的区别: 1.inbound就是数据包进入路由,可以在端口设置拒绝或者允许数据包经过 2.outbound就是数据包已经存在于路由器当中,现在想从路由器中出去,我们可以在端口设置拒绝或者允许数据包从路由器中出去验证测试 PC1 ping PC3 网络结构拓扑图 (基于上面的那个图做了一些修改,基本的IP地址配置以及路由是一样的) 登录验证 在win7 的客户端输入 Telnet+路由器的IP地址 即可进入登录界面 验证测试 要求:client可以访问到server网页,但是不能够和server建立通信 client 正常情况下连通测试server 配置server服务器 以上就是 ensp ACL访问控制列表的配置,如有错误,还望指出 |
CopyRight 2018-2019 实验室设备网 版权所有 |