高级ACL

网络配置:高级ACL、NAT及VRRP实践
最新推荐文章于 2025-04-27 15:26:31 发布
原创 最新推荐文章于 2025-04-27 15:26:31 发布 · 984 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

本文介绍了如何配置高级ACL以限制特定网络服务的访问,如禁止2.1和2.2访问1.1的FTP和HTTP服务。接着,讲解了私有IP地址的分类,并演示了NAT的静态转换和Easy IP配置,以实现地址转换。最后,通过VRRP配置展示了如何实现路由器的备份,确保网络连通性。

NETWORK  day  04

================================================

使用高级acl

 

基本acl  2000~2999  源地址 

高级acl  3000~3999  源地址、目标地址、协议、端口

 

禁止2.1访问1.1的ftp服务,但不影响其他服务

[Huawei]dis acl all   //查看acl

[Huawei]acl 3000   //创建(进入)acl3000

[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination

 192.168.1.1 0 destination-port eq 21  //拒绝2.1访问1.1的tcp的21端口

[Huawei-acl-adv-3000]in g0/0/1   //进入距离2.1比较近的接口

[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound   //删除原有acl

[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000   //重新在接口

应用acl3000

 

禁止2.2访问1.1的网站服务,但不影响其他服务

[Huawei]acl 3000   //创建(进入)acl3000

[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination

 192.168.1.1 0 destination-port eq 80

 

----------------------------------------------------------------------------------

私有ip地址

A  10.0.0.0~10.255.255.255

B  172.16.0.0~172.31.255.255

C  192.168.0.0~192.168.255.255

 

NAT 网络地址转换,可以将私有地址转换为全球唯一的公网地址

常用转换方式:

静态转换  1对1  双向通信

easy ip    多对1  单向通信

首先按图配置ip(配置ip步骤这里省略)

 

在路由器配置静态nat

[Huawei]in g0/0/0    //进入外网接口

[Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.2 inside 192.168.2.1  //使用

静态nat技术,将内部的2.1与外部的公网地址100.0.0.2进行相互转换

然后测试使用192.168.2.1 ping 100.0.0.10可以互通说明地址转换成功

[Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.3 inside 192.168.2.2  //再次

配置静态nat,将内部的2.2与外部的公网地址100.0.0.3进行相互转换

 

在路由器配置easy ip,让所有的内部主机仅仅利用唯一的一个公网地址

100.0.0.1访问外网

[Huawei]acl 2000   //通过acl定义允许访问外网的设备

[Huawei-acl-basic-2000]rule permit source any  //这里放行所有设备,如果

将any换成192.168.2.0 0.0.0.255则是仅仅允许2.0网段的设备访问外网

 

[Huawei-acl-basic-2000]in g0/0/0  //进入0接口(外网接口)

[Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.3 inside 192.168.2.2

 //删除已有的静态nat

[Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.2 inside 192.168.2.1

[Huawei-GigabitEthernet0/0/0]nat outbound 2000  //应用nat (easy ip方式)

 

 

 

--------------------------------------------------------------------

vrrp 虚拟路由冗余协议

VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份

 

 

三层交换机配置,第一台

[Huawei]sysname sw1              //修改主机名为sw1      

[sw1]undo info-center enable   //关闭日志

[sw1]in vlan 1  //进入vlan1

[sw1-Vlanif1]ip add 192.168.1.252 24  //配置ip

另外一台s5700

<Huawei>sys

[Huawei]sysname sw2

[sw2]undo info-center enable

[sw2]in vlan 1

[sw2-Vlanif1]ip add 192.168.1.253 24

 

然后分别在路由器与三层交换机上配置ospf

[Huawei]ospf    //在路由器配置ospf

[Huawei-ospf-1]area 0

[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255

[sw1]ospf  //在sw1配置ospf

[sw1-ospf-1]area 0

[sw1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255

[sw1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255

[sw2]ospf   //在sw2配置ospf

[sw2-ospf-1]area 0

[sw2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255

[sw2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255

 

VRRP组成员角色

主(Master)路由器

备份(Backup)路由器

虚拟(Virtual)路由器

 

在两台三层交换机配置vrrp

[sw1]in vlan 1  //vrrp需要在接口中配置,进入vlan接口

[sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254  //开启vrrp功能,组号

是1,虚拟设备的ip是1.254

[sw2]in vlan 1   //另外这台设备配置一样的内容

[sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254

 

<sw1>display vrrp brief   //查看vrrp状态

 

如果打算将某个备份设备改成主设备:

[sw1-Vlanif1]vrrp vrid 1 priority 105   //修改vrrp优先级,默认值

是100,越高越优先成为主

 

---------------------------------------------------------------------------------

练习:

1,NAT的作用是什么,有哪些优点?

 

2,私有IP地址分类有哪些?

 

3,NAT常用实现方式有哪些,各有什么特点?

 

4,VRRP是什么,具体的作用是什么?

 

5,VRRP中设备的身份有哪些?

 

6,VRRP通过什么定义路由设备的主备身份?

 

 

 

参考答案

1,NAT的作用是什么,有哪些优点?

通过将内部网络的私网IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。

优点有节约公网ip、处理地址重叠(使用相同私网地址的主机不会冲突,可以利用不同的公网ip互通)、增加安全

2,私有IP地址分类有哪些?

A类 10.0.0.0~10.255.255.255

B类 172.16.0.0~172.31.255.255

C类 192.168.0.0~192.168.255.255

3,NAT常用实现方式有哪些,各有什么特点?

静态转换 可以实现1个私网地址对1个公网地址的转换 是双向通讯

Easy IP 可以实现多个私网地址对1个公网地址的转换 是单向通讯

4,VRRP是什么,具体的作用是什么?

vrrp是虚拟路由冗余协议

可以实现网关的冗余备份,可以保障网关设备出现故障的情况下不会对网络造成重大影响。

5,VRRP中设备的身份有哪些?

主(master)路由器,备份(backup)路由器,虚拟(virtual)路由器

6,VRRP通过什么定义路由设备的主备身份?

可以修改优先级来决定

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

LinuxGHF
关注
基础ACL高级ACL有啥区别?主流网络设备如何配置?
网络技术联盟站
06-11 322
基础ACL(Standard ACL)基础ACL是访问控制列表的入门级形式,主要基于源IP地址进行流量过滤。它简单直接,适合对单一维度的流量进行控制。例如,你可以用基础ACL阻止某个IP地址访问你的网络,或者允许某个子网的流量通过。仅检查数据包的源IP地址。规则简单,处理速度快。通常用于简单的访问控制场景,比如限制某个子网访问服务器。编号范围(思科设备为例):1-99,1300-1999。高级ACL(Extended ACL高级ACL功能更强大,能够基于多种条件进行流量过滤,包括。
高级ACL的配置实验
lwljh134的博客
09-20 2802
分析:PC2访问PC1的流量到达了PC1,PC1的回应包到达了R1的g0/0/0然后丢弃,这样会浪费带宽,所以要加上ACL 3001,这样PC2访问PC1的流量在R1的g0/0/1上就丢弃了。:指定ACL规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。:指定ACL规则匹配报文时,区分服务代码点(Differentiated Services Code Point),取值为:0~63。:指定ACL规则匹配报文时,依据服务类型字段进行过滤,取值为:0~15。
华为cipher解密工具_华为技术:使用 ACL 限制 FTP 访问权限示例
weixin_39524574的博客
11-24 4154
组网要求:Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:子网1PC1(192.168.10.0/24)的所有用户在任意时间都可以访问FTP服务器。其他子网2用户PC2不可以访问FTP服务器。已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。一、主要知识点:ACL 简介访问控制列表ACL(Access Control ...
高级ACL配置
weixin_50339233的博客
05-21 5873
搭建top PC1配置IP PC2配置IP Server1配置IP Server2配置IP R1的配置 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 10.1.1.254 24 初始情况下PC1和PC2都能够访问server1和server2 一.
ACL实验-高级ACL
zhuyanpingdeboke的博客
12-18 7165
一、每一个acl都需要分配一个编号,成为acl编号,基本acl:2000-2999,高级acl:3000-3999,二层acl:4000-4999,用户自定义acl:5000-5999。一个acl的每一个规则有相应的编号,规则编号按照:10,20,30,40... 基本acl:只能基于IP保温的源IP地址来定义规则。 rule 10 deny/permit ...
华为eNSP:高级ACL
fanshizhiren的博客
06-19 1659
灵活性高级ACL作为一种强大的网络管理工具,不仅能够提高网络的安全性,还能够优化网络的性能。它通过精细的规则配置,实现了对不同网络流量的高效管理和控制。对于追求高安全和高质量的网络服务的企业来说,正确配置和维护高级ACL是确保网络稳定运行的重要工作。
ACL高级用法
weixin_43168655的博客
10-05 2054
前面写过传统的权限有三种身份(owner,group,others)搭配三种权限(r,w,x)而已,并没有办法针对某一个用户或某一个组来设置特定的权限需要,此时可以使用ACL这个机制 什么是ACL ACL是Access Control List 的缩写,主要目的是提供传统的权限之外的具体权限设置。它可以针对单一用户,单一目录或文件来进行r w x的权限设置,对于需要特殊权限的使用状况非常有帮助。 ...
精选资源
华为Ensp,基本ACL高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
06-16
华为Ensp,基本ACL高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
ensp实验-高级ACL
ctl_2005的博客
06-27 604
高级ACL(Access Control List,访问控制列表)是一种网络安全技术,用于在网络设备(如路由器、防火墙等)上实现细粒度的访问控制。通过高级ACL,可以根据源IP地址、目的IP地址、协议类型、端口号等条件,对网络流量进行精确的控制和过滤。为减少带宽浪费,在R1做以下配置。配置路由器R1的IP地址。1、ACL实验拓扑图。
配置高级ACL案例
WFlySky的博客
11-07 5717
前提条件 •如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。 背景信息 高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。 操作步骤 1、执行命令system-view,进入系统视图。 2、创建高级ACL。可使用编号或者名称两种方
ACL-高级ACL命令及配置练习
little_startoo的博客
04-08 1228
ACL-高级ACL命令及配置练习
基本ACL,高级ACL
q1y2y3的博客
03-21 1605
ACL:访问控制列表※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;※ACL除了能够对报文进行匹配,还能够用于匹配路由;
高级ACL的配置
2301_78421451的博客
04-27 880
高级ACL可以根据多个条件进行过滤,包括源IP地址、目标IP地址、源端口号、目标端口号和协议类型等。通过这些条件,管理员可以实现对特定资源的细粒度访问控制,从而更好地保护系统和数据的安全性,防止未经授权的用户访问敏感信息或执行不当操作‌。
华为路由器 高级ACL配置
一直被模仿,从未被超越
03-26 4092
(2)Client2 无法访问 Server1服务器 HTTP 80端口。(1)Client1 无法访问 PC3。3、路由器设置 高级ACL。1、交换机 SW1 设置。2、路由器 R1 设置。
访问控制列表之基本ACL高级ACL高级ACL之ICMP、高级ACL之telnet
热门推荐
weixin_64107161的博客
01-27 1万+
在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一、ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包。 ACL分为基本ACL高级ACL, 基本ACL,只能匹配数据包的源IP地址,匹配数据不精准; 高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。 二、基本ACL高级ACL在应用过程中的最佳调用位置: 基本ACL,匹配数据不精准,所以调用在距离目标设备近的端口上; 高级ACL,匹配数据精准,所以调
基本ACL高级ACL
Dengyongchuan的博客
11-10 3154
第一步:基础配置 AR1: sy sysname AR1 interface GigabitEthernet0/0/0 ip address 10.1.1.1 255.255.255.0 interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 第二步: 1、基本ACL: 客户端1能访问服务器FTP、HTTP 客户端2不能访问服务器FTP、HTTP acl 2000 rule deny source 10.1.1.20 0 ru.
高级acl
最新发布
06-16
### 华三设备高级 ACL 配置方法与示例 在华三(H3C)设备上,高级 ACL 能够根据 IP 报文的源地址、目的地址、协议字段值、优先级值、长度值、TCP/UDP 的源端口和目的端口等信息定义规则[^5]。以下是配置高级 ACL 的具体方法和示例。 #### 高级 ACL 配置方法 1. **创建高级 ACL** 使用以下命令创建编号为 3000 的高级 ACL: ```plaintext acl advanced 3000 ``` 2. **添加规则** 添加一条规则以拒绝来自 `192.168.2.0/24` 网络的流量访问目标地址 `192.168.3.1`: ```plaintext rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0 ``` 上述规则中,`rule 0` 表示规则编号为 0,`deny ip` 表示拒绝所有 IP 流量,`source` 和 `destination` 分别指定源地址和目标地址范围[^3]。 3. **应用 ACL 到接口** 将高级 ACL 3000 应用到 `GigabitEthernet0/2` 接口的入站方向: ```plaintext interface GigabitEthernet0/2 packet-filter 3000 inbound ``` 此命令将 ACL 3000 绑定到指定接口的入站流量过滤。 #### 示例代码 以下是一个完整的高级 ACL 配置示例: ```plaintext acl advanced 3000 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0 rule 5 permit tcp source 100.1.1.1 0 destination 10.1.1.0 0.0.0.255 destination-port gt 1023 interface GigabitEthernet0/2 packet-filter 3000 inbound ``` - 第一条规则拒绝来自 `192.168.2.0/24` 的流量访问目标地址 `192.168.3.1`。 - 第二条规则允许 TCP 流量,源地址为 `100.1.1.1`,目标地址为 `10.1.1.0/24`,且目标端口号大于 1023[^4]。 #### 验证与排查 1. **查看 ACL 配置** 使用以下命令查看高级 ACL 3000 的配置详情: ```plaintext display acl 3000 ``` 确认规则是否正确添加并生效[^1]。 2. **检查接口绑定** 验证 ACL 是否已正确绑定到接口: ```plaintext display packet-filter interface GigabitEthernet0/2 ``` 确保 ACL 3000 已成功应用于 `GigabitEthernet0/2` 接口的入站方向[^2]。 3. **分析流量统计** 查看 ACL 的命中统计信息: ```plaintext display acl 3000 ``` 检查每条规则的匹配次数,确保流量被正确过滤[^2]。 #### 注意事项 - 高级 ACL 编号范围通常为 3000 至 3999[^5]。 - 规则编号必须唯一,且建议按照步长递增(默认步长为 5)[^5]。 - 在配置时需注意默认策略,若未显式定义允许规则,则所有未匹配的流量将被拒绝[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值