day18、2 - ACL实验

最新推荐文章于 2024-01-22 09:39:00 发布
原创 最新推荐文章于 2024-01-22 09:39:00 发布 · 518 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络协议 #运维 #web安全 #tcp/ip

本文详细介绍了如何使用标准ACL和扩展ACL进行网络访问控制。实验包括在路由器和三层交换机上创建ACL,以实现特定的网络访问策略,如禁止特定网段间的通信、限制部门间访问等。同时,文章还涵盖了ACL的添加、删除和修改,以及验证过程,确保网络策略的正确实施。

一、标准ACL实验

1.实验要求

image-20211112160800990
  • 以下所有的要求全部使用标准ACL实现
    1. 要求10网段禁止访问整个50网段,10网段访问其他网段不受限制
    2. 要求40.1.1.1PC禁止访问50网段,40.1.1.1PC访问其他的不受限制
    3. 要求10.1.1.1禁止访问40网段,其他不受限制

2.实验步骤

1)全网互通

  1. 将所有路由器端口开启并配置IP(这里举一个例子,其他所有路由器配置类似)

    image-20211112150420106

  2. 将所有路由器的路由表配置完整

    ip route 0.0.0.0 0.0.0.0 下一跳IP
ip route 目标网段 子网掩码 下一跳IP

    前面章节配置路由表命令都有,这里不再赘述

  3. 验证全网互通

    • 将所有PC配置对应IP,网关指对,再用PC1去ping50网段的和40网段的均可以ping通

      image-20211112152019491 image-20211112152034442

2)创建标准ACL并添加条目

  1. 先考虑在哪台设备的哪个接口的哪个方向添加ACL表

    • 要求10网段无法与50网段通信,则在r2的f1/0接口的出方向创建ACL并添加条目
    • 要求40.1.1.1PC无法与50网段通信,则也在r2的f1/0接口的出方向的同一张ACL表中添加条目
    • 要求10.1.1.1禁止访问40网段,则在r3的f0/1接口的出方向创建ACL并添加条目

  2. 确定添加ACL的位置后,先打开r2

    • 进入全局配置模式创建ACL表并添加条目

      image-20211112153535947

    • 将此ACL表应用到f1/0接口的出方向上

      image-20211112153859645

  3. 再打开r3

    • 进入全局配置模式创建ACL表并添加条目

      image-20211112154235477

    • 将此ACL1表应用到f0/1接口的出方向上

      image-20211112154403209
3)验证

  • 用PC1-10.1.1.1和PC2-40.1.1.1ping50.1.1.1,包经过r2会被过滤禁止通行,则r2会用ICMP协议发一个错误信息给发送者,类型字段为3,显示目标主机不可达

    image-20211112155435713

  • 再用PC6-40.1.1.2ping50.1.1.1,则r2查看ACL表中前两条条目都不满足条件,而第三条条目为允许任何源IP发来的包通过,所以会放行,则可以ping通

    image-20211112155731365

  • 要求3的验证同理可得

二、扩展ACL及命名ACL实验

1.实验要求

  • 模拟现实中公司的网络:设置vlan,设置trunk,搭建三层交换机实现网内不同vlan之间也可以相互访问。再搭建路由部门的网络使内网全部PC可以访问互联网(假设外网有N多个网段,图中没完全表示出来)

  • 在此基础上,在三层交换机上实现下列要求:

    1. 要求销售部只能访问内网,不能访问互联网

    2. 任何部门均不能访问财务部,但不能影响财务部上网

    3. 即要求在三层交换机上创建ACL并设置相关要求的条目,采用扩展ACL并且对扩展ACL命名

  • 如图所示:

    image-20211112201657117

    假设互联网中的网段有很多个,不止图上这么多。且假设销售部和财务部中有很多台PC,图中只用一台表示一个部门,即vlan10和vlan30下其实有很多PC;其他的PC假设作为单个PC,即一个vlan20和vlan40下只有一台PC。所以创建ACL表中的条目的条件时要注意区分

2.实验步骤

1)实现内网全部访问互联网

  • 配置交换部分

    1. 二层三层交换机配置trunk

      image-20211112200311793image-20211112200356047

      此时软件已经自动将三层交换机的f0/1和f0/2端口配置成trunk

      image-20211112200507653

    2. 三层交换机上使用vtp创建vlan

      image-20211112200615488

      验证一下是否下发成功

      image-20211112200714931

    3. 二层交换机端口分别加入对应vlan

      image-20211112200843993 image-20211112200924551

    4. 先开启三层功能,再起虚接口并配置IP(网关)

      image-20211112232704249 image-20211112201453466

  • 配置路由部分

    1. 开启三层交换机和路由器的端口并配置IP

      image-20211112201834126 image-20211112202025336

      image-20211112202139150 image-20211112202307371

    2. 配置路由表

      image-20211112202455638 image-20211112202711771

      image-20211112202912727 image-20211112202951142

  • 给所有PC配好IP,验证销售部是否可以ping通互联网,及销售部能否访问财务部,及财务部能否ping通互联网

    image-20211112234952315image-20211112235420075image-20211112235513569

2)配置ACL
  1. 先判断要在哪里创建扩展/标准ACL表:第一条要求:要求销售部只能访问内网,不能访问互联网,那么可以在sw-gate的f0/3接口出方向添加ACL表;第二条要求:任何部门均不能访问财务部,但不能影响财务部上网,那么可以在sw-gate的f0/2接口出方向添加ACL表。由于要在一个三层交换机上的两个不同接口添加ACL表,所以可以通过命名的方式创建两张扩展ACL表:用于要求1的表命名为sales_net_play;用于要求2的表命名为fiance_access

  • 要求一:要求销售部只能访问内网,不能访问互联网

    1. 通过命名的方式创建第一张扩展ACL表–sales_net_play,并添加相关条目(错误的!后面要修改条目内容)

      image-20211113001248663

    2. 将sales_net_play表应用到sw-gate的f0/3接口出方向(正确)

      image-20211113000851922

  • 要求二:任何部门均不能访问财务部,但不能影响财务部上网

    1. 再通过命名的方式创建第一张扩展ACL表–fiance_access,并添加相关条目(错误的!一会要修改一下)

      image-20211113001327041

    2. 将fiance_access表应用到sw-gate的f0/2接口出方向(正确)

      image-20211113001828481

  • 删除和插入新的条目

    1. 发现finance_access表中没有满足财务部可以上网的要求,且财务部中有很多PC不是只有192.168.3.1这一台,所以需要将deny ip any host 192.168.3.1这条条目删除,再插入新的

      • 查看sw-gate中的所有的ACL表及当中的所有条目,查看到需要删除的条目ID为10,且要在条目ID为20的条目前插入新的条目

        image-20211113001932032

      • 删除条目ID为10的条目,并查看是否删除成功

        image-20211113003714433

      • 添加新的条目,条目ID必须小于20,并查看是否添加成功(正确)

        image-20211113005537319

    2. 发现sales_net_play表中的deny ip host 192.168.1.1 any条目中,销售部是一个部门,而不是一个IP,且这条要求的条目只根据源IP过滤,所以用命名的方式创建标准ACL即可

      • 删除原来创建的名为sale_net_play的扩展ACL表

        image-20211113011702777

      • 用命名的方式创建标注ACL表,并添加条目,查看是否添加成功(成功)

        image-20211113012440323
3)验证

  • 验证销售部还能否ping通互联网,及销售部还能否ping通财务部,即财务部还能都ping通互联网

    image-20211113002017527

    经过sw-gate的f0/3接口会被禁止通过,则sw-gate会利用ICMP协议生成ICMP报文,类型字段为3。再从vlan10的网关接口发出去,所以显示是来自192.168.1.254回复的信息

    image-20211113002357597

    sw-gate收到目标IP为财务的时会禁止通过,最后还是由sw-gate使用ICMP回馈错误信息,从vlan10的网关发出去,所以还是显示来自192.168.1.254回复的消息

    image-20211113012712798
ACL扩展列实验
m0_56175629的博客
09-22 1298
r1 r2配置IP地址 r2写静态路由 pc1(路由器) 配置IP地址,写缺省 pc2(路由器) 配置IP地址,写缺省 r1 r2开启telnet服务 [r1]telnet server enable [r1]user-interface vty 0 4 [r1-line-vty0-4]authe [r1-line-vty0-4]authentication-mode none [r2]telnet server enable [r2]user-int [r2]user-interface vty 0 4.
实训二十二:交换机标准 ACL 配置
weixin_60462069的博客
10-03 6751
1ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。1、 对 ACL 中的项的检查是自上而下的,只要匹配一条项,对此 ACL 的检查就马上 结束。1、 了解什么是标准ACl1、不配置 ACL,两台 PC 都可以上网;
网络拓扑图搭建三——ACL命令配置,FTP SSH服务配置,浮动路由
qq_45726460的博客
08-11 741
显示主机或者网段之间访问情况,使用ACL命令做限制(前提:网段之间正常通信)FTP SSH服务搭建使用基本配置命令浮动路由:配置两条静态路由,其中一条线路作为备份线路;进入主链路接口,关闭shudow接口;使用tracert ip 查看经过线路路由。
ACL扩展试验
weixin_33878457的博客
06-06 195
ACL扩展试验: 考虑网络实际情况: 配置: 计算机IP如上, 路由1的配置如下: Router>enable Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config...
第六章 扩展ACL实验
沐一清
09-04 4058
实验一:做扩展ACL允许192.168.10.1访问WEB服务器,拒绝ping服务器,在扩展ACL中插入序号为15的策略(对IP为192.168.10.2的主机拒绝ping服务器)实验思路 1.配置PC1的地址为192.168.10.1,掩码为24位,网关为192.168.10.254。 2. 配置PC2的地址为192.168.10.2,掩码为24位,网关为192.168.10.25...
网络工程师Day4--实验3-1 配置ACL过滤企业数据
小梁的博客
08-24 2533
实验3-1 配置ACL过滤企业数据 学习目标 掌握高级ACL的配置方法 掌握ACL在接口下的应用方法 拓扑图 场景 企业部署了三个网络,其中R2连接的是公司总部网络,R1和R3分别为两个不同分支网络的设备,这三台路由器通过广域网相连。你需要控制员工使用Telnet和FTP服务的权限,R1所在分支的员工只允许访问公司总部网络中的Telnet服务器,R3所在分支的员工只允许访问FTP服务器。 操作步...
网络工程师Day6--实验3-2 NAT配置
小梁的博客
08-26 1720
网络工程师Day6实验3-2 NAT配置 学习目标 掌握动态NAT的配置方法 掌握EASY IP的配置方法 拓扑图 场景 为了节省IP地址,通常企业内部使用的是私有地址,然而,企业用户不仅需要访问私网,也需要访问公网。作为企业的网络管理员,您需要在两个企业分支机构的边缘路由器R1和R3上通过配置NAT功能,使私网用户可以访问公网。本实验中,您需要在R1上配置动态NAT,在R3上配置EASY I...
[网络安全学习篇18]:ACL实验(千峰网络安全视频笔记 18 day
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-07 3314
目录 ACL (NTFS) 5、ACL主要分为2大类: 6标准ACL: 7、扩展ACL: 8、ACL原理 9、命名ACL实验ACL (NTFS) 1、Access Contral List 2、ACL是一种包过滤技术。 3、ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号[5层数据不能] 基于三层和四层过滤 4、ACL在路由器上配置,也可以在防...
Squid ---- ACL访问控制+sarg日志分析
XuMin6的博客
03-20 690
Squid ---- ACL访问控制+sarg日志分析 一:ACL的介绍 ​ ACL(访问控制列)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包过滤,允许其通过或丢弃。访问控制列被广泛的应用于路由器和三层交换机,借助于访问控制列,可以有效地控制用户对网络的访问,从而最大程度的保障网络安全ACL的作用: (1) 限制网络流量、提高网络性能 (2) 提供对...
网络工程师Day9--GRE配置
小梁的博客
08-28 1212
#网络工程师Day8–实验3-5 GRE隧道配置 学习目标 掌握GRE隧道封装的配置方法 掌握GRE隧道接口的配置方法 理解GRE keepalive功能的实现原理 拓扑图 场景 当企业总部和分支机构间需要互相发布加密的路由信息时,仅通过IPSEC VPN方案是无法实现的,由于IPSEC VPN无法承载使用组播发送的路由协议数据包,因此还需要在现有的IPSEC网络中配置GRE隧道解决此问题 操作...
实训二十三:交换机扩展 ACL 配置
weixin_60462069的博客
10-03 1883
1、配置 ACL之前,PC1 和 PC2 都可以 telnet 交换机 A。2、配置 ACL后,PC1 可以 telnet 交换机 A,而 PC2 不可以 telnet 交换机 A。1、 端口可以成功绑定的 ACL数目取决于已绑定的 ACL的内容以及硬件资源限制,如 果因为硬件资源有限无法配置会提示用户相关信息。1标准 ACL 只能限制源 IP 地址,而扩展 ACL 的限制权限就很广泛,包括源 IP、目 的 IP、服务类型等。第四步:配置交换机 A 的 telnet 信息。
访问控制列--扩展ACL、命名的ACL
热门推荐
青红造了个大白之成长记
07-05 2万+
2.1 实验目的(1)理解扩展ACL标准ACL的区别(2)掌握扩展ACL的配置和应用(3)熟悉扩展ACL的调试2.2 实验原理1.扩展ACL配置命令为了更加精确地控制流量过滤,我们可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL(最多可使用 800 个扩展 ACL)。扩展 ACL标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL ...
路由交换配置ACL
qq_33441500的博客
07-13 750
0x01 绘制网络拓扑图 实验要求:(要求一下全部使用标准ACL实现1,要求10网段禁止访问整个50网段,访问其他网段不受限制 2,要求40.1.1.1 PC禁止访问50网段,其他访问的不收限制 3,要求10.1.1.1禁止访问40网段,其他不受限制 0x02 为各个接口配置IP地址 1,PC1 IP 10.1.1.1/24 2,PC2 IP 10.1.1.2/24 3,R1 ...
西工大网络空间安全学院计算机网络实验五——ACL配置
a15735748145a的博客
12-09 2695
所示,虽然PC0既ping不通Server0,又ping不通Server1,但是PC0能够通过访问"http://www.httpserver.com"来访问Server1提供的HTTP服务,同时将域名"http://www.httpserver.com"解析为IPv4地址"192.168.1.58"这个任务是由Server0提供的DNS解析服务完成的,所以PC0也能能使用Server0提供的DNS解析服务,所以综上所述,为Router2配置的ACL规则是成功的!​ 接着开始配置各个设备的网卡接口的IP。
Cisco:标准ACL实验配置实验以及知识讲解
qq_45345433的博客
05-13 7635
Cisco:标准ACL实验配置实验以及知识讲解 访问控制列实现网络流量限制,提供流量控制,为网络提供基本的安全层 目录Cisco:标准ACL实验配置实验以及知识讲解一、ACL的基本概念二、访问控制列的类型1标准访问控制列2、扩展访问控制列3、命名访问控制列三、实验一:配置标准ACL实现流量控制1网络拓扑图搭建2、R1、R2、R3的IP地址接口配置2、标准ACL配置 一、ACL的基本概念 ACL (Access Control List,访问控制列)是一系列运用到路由器接口的指令列。这
计算机网络基础(十)----ACL的操作使用
我的博客
03-21 4581
ACL 是访问控制列通信的五元素:源ip地址、目的ip地址、源端口号、目的端口号和协议ACL的作用是:1、对数据包做访问控制(丢弃或者放行)2、结合其他协议进行匹配如图所示,访问列的处理过程:不管他有多少的工作规则,从上往下依次匹配,只要陪陪到了则立刻停止,执行该匹配的选项。
计算机网络实验-ACL配置
visualstu的博客
01-22 1693
实验使用软件:Cisco Packet Tracer 6.0实验得分:19/20。
华为ensp配置ACL
2301_77324496的博客
06-21 1万+
基础ACL和高级ACL的配置
ACL配置实验报告(XDU物联网安全
travis的博客
07-30 8298
ACL配置实验 一、实验目的 深入理解用ACL实现访问控制的工作原理 二、实验所用仪器(或实验环境) 计算机科学与技术学院实验中心,可接入Internet网台式机44台。 三、实验基本原理及要求 拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同) <1>配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 <2>配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1
ensp中acl实验
最新发布
03-26
<think>好的,我现在需要帮助用户在华为eNSP平台上进行ACL实验的配置与操作。首先,用户已经提供了相关的引用内容,我需要整合这些信息,按照系统级指令来生成回答。 首先,我要回顾用户的问题。用户想要在ENSP平台上进行ACL实验,需要配置和操作的教程。根据引用内容,ACL是用于网络流量控制和安全的,配置涉及到规则设定和应用到接口上。特别是引用3提到ACL基于包过滤技术,可以允许或丢弃数据包,而引用2给出了具体的命令示例,将ACL 3000应用到接口的入方向。 接下来,我需要按照用户的要求,结构清晰地分步骤说明。首先应该介绍基本概念,然后准备实验环境,接着配置ACL规则,应用到接口,验证配置,最后分析结果。同时,用户要求生成相关问题,这部分需要放在最后。 在配置步骤中,需要注意引用中的具体命令,比如创建ACL 3000,配置规则,以及使用traffic-filter命令应用ACL到接口。这些都需要准确无误地呈现,且符合LaTeX格式的要求,比如行内公式用$...$,独立公式用$$...$$,但这里可能更多是代码块和配置步骤,所以需要正确使用代码块格式。 另外,用户提供的示例中有Python代码块,因此在回答中,应该使用类似的代码块来展示ENSP的配置命令,例如使用思科或华为的CLI命令格式。需要确保语法正确,比如华为设备可能使用acl number 3000这样的命令。 在验证部分,需要提到使用display acl命令查看配置,以及通过ping测试来验证ACL是否生效,这在引用2和引用3中都有涉及。同时,结果分析需要解释ACL的工作原理,如匹配顺序和规则定义,确保用户理解为什么某些流量被允许或拒绝。 最后,生成的相关问题需要围绕ACL实验的深入内容,比如高级规则配置、不同ACL类型的区别、与其他技术的结合应用等,确保问题能够引导用户进一步学习。 现在需要检查是否符合所有系统级指令:使用正确的中文回答,结构清晰,引用标识正确,LaTeX格式正确(虽然这个问题可能较少涉及数学公式,但代码块需要正确),以及生成相关问题。同时,确保没有使用Markdown格式,而是用自然的中文段落和分步骤说明。</think>### eNSP ACL实验配置与操作教程 #### 一、ACL实验基础概念 访问控制列ACL)通过定义规则对网络流量进行过滤,实现安全策略和流量管理。在华为eNSP中,ACL可分为基本ACL(2000-2999)和高级ACL(3000-3999),分别用于匹配源IP和更复杂的五元组条件[^3]。 #### 二、实验环境准备 1. 在eNSP中搭建拓扑:至少包含1台路由器(如AR2220)和2台PC。 2. 配置接口IP地址,确保基础网络连通性。 3. 通过`ping`命令验证初始连通状态。 #### 三、ACL配置步骤(以禁止PC1访问PC2为例) 1. **创建高级ACL 3000** ```shell <Huawei> system-view [Huawei] acl 3000 [Huawei-acl-adv-3000] rule deny ip source 192.168.1.2 0 destination 192.168.2.2 0 [Huawei-acl-adv-3000] quit ``` *说明:`0`示精确匹配子网掩码,`deny`示拒绝流量。* 2. **应用ACL到接口** ```shell [Huawei] interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 [Huawei-GigabitEthernet0/0/1] quit ``` *注:`inbound`示对进入接口的流量生效[^2]。* #### 四、验证配置 1. 查看ACL配置状态: ```shell <Huawei> display acl 3000 ``` 2. 从PC1执行`ping 192.168.2.2`,应显示**请求超时**。 #### 五、实验结果分析 - ACL规则按**配置顺序**从上到下匹配,默认隐含拒绝所有规则。 - 规则定义需遵循**最小化原则**,仅开放必要流量[^1]。 - 可通过`rule permit ip`添加允许规则实现精细化控制。 #### 六、典型配置案例 **案例:限制特定时间段访问** ```shell time-range work-time 09:00 to 18:00 working-day acl 3001 rule permit tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.1 0 time-range work-time ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值