高级ACL的配置实验

已于 2024-09-20 14:17:43 修改
阅读量2.1k 收藏 31
点赞数 11
文章标签: 网络 运维 智能路由器
于 2024-09-20 14:17:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lwljh134/article/details/142384054
版权
  1. 实验需求
  • 掌握高级ACL的配置方法
  • 掌握高级ACL在接口下的应用方法
  • 掌握流量过滤的基本方式
  1. 实验拓扑

实验拓扑如图12-14所示:

图12-14高级ACL

  1. 实验步骤

(1)配置PC机的IP地址

PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。PC2同理

PC1的配置如图12-15所示:

  图12-15在PC1上手动添加IP地址

PC2的配置如图12-16所示:

                                                 图12-16在PC2上手动添加IP地址

(2)配置路由器R1的IP地址

<Huawei>system-view

[R1]undo info-center enable

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.10.254 24

[R1-GigabitEthernet0/0/0]undo shutdown

[R1-GigabitEthernet0/0/0]quit

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]ip address 192.168.20.254 24

[R1-GigabitEthernet0/0/1]undo shutdown

[R1-GigabitEthernet0/0/1]quit

(2) 测试:PC1访问PC2,结果如图12-17所示:

                           图12-17  PC1上显示的ping程序测试信息

通过以上输出,可以看到PC1可以访问PC2

(3)配置高级ACL

[R1]acl 3000  //创建ACL编号为3000

[R1-acl-adv-3000]rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255  //拒绝192.168.10.0网段去访问192.168.20.0网段

[R1-acl-adv-3000]quit

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[R1-GigabitEthernet0/0/0]quit

【技术要点】

高级acl配置过程及参数详解

1、创建高级ACL

[Huawei] acl [ number ] acl-number [ match-order config ]

acl-number:指定访问控制列表的编号。

match-order config:指定ACL规则的匹配顺序,config表示配置顺序。

2、配置高级ACL的规则

当参数protocol为IP时:

rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]

ip :指定ACL规则匹配报文的协议类型为IP。

destination { destination-address destination-wildcard | any }:指定ACL规则匹配报文的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。

dscp dscp:指定ACL规则匹配报文时,区分服务代码点(Differentiated Services Code Point),取值为:0~63。

tos tos:指定ACL规则匹配报文时,依据服务类型字段进行过滤,取值为:0~15。

precedence precedence:指定ACL规则匹配报文时,依据优先级字段进行过滤。precedence表示优先级字段值,取值为:0~7。

当参数protocol为TCP时:

rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *

protocol-number | tcp:指定ACL规则匹配报文的协议类型为TCP。可以采用数值6表示指定TCP协议。

destination-port { eq port | gt port | lt port | range port-start port-end}:指定ACL规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口都匹配。其中:

eq port:指定等于目的端口;

gt port:指定大于目的端口;

lt port:指定小于目的端口;

range port-start port-end:指定源端口的范围。

tcp-flag:指定ACL规则匹配报文的TCP报文头中SYN Flag。

4、实验调试

(1)测试PC1是否可以访问PC2,结果如图12-18所示:

                                  图12-18 PC1上显示的ping程序测试信息

通过以上输出我们可以看到PC1和PC2不能相互访问了。

(2)为了减少带宽浪费,在R1上作如下配置:

[R1]acl 3001

[R1-acl-adv-3001]rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

[R1-acl-adv-3001]quit

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3001

[R1-GigabitEthernet0/0/1]quit

分析:PC2访问PC1的流量到达了PC1,PC1的回应包到达了R1的g0/0/0然后丢弃,这样会浪费带宽,所以要加上ACL 3001,这样PC2访问PC1的流量在R1的g0/0/1上就丢弃了。

本文出自作者的《HCIA Datacom学习指南》
https://item.jd.com/14032255.html


在文章最后加作者VX:可以免费领取以下资料
 

卓应
关注
博客
VLAN的划分
04-30 470
以上输出分别表示,第一列为vlan id,第二列type表示vlan 的类型,其中common表示普通vlan,*common表示为管理vlan,第三列port表示本交换机上面属于该vlan的接口。PC1和PC3属于VLAN10,PC2和PC4属于VLAN20,通过VLAN技术让PC1和PC3可以相互访问,PC2和PC4可以相互访问。后续PC1与PC3的互访,由于彼此已学习到对方的MAC地址,报文中的目的MAC地址直接填写对方的MAC地址。实验证明:相同的VLAN可以相互访问,不同的VLAN不能相互访问。
博客
OSI参考模型
04-14 1162
例如,通过浏览器访问百度,在百度中搜索两个人名,它会自动分为两个页面,然后再关闭浏览器,在这个过程中会话层要与百度的服务器建立连接、管理连接,最后再断开连接。若校验数据帧无破损,则对数据进行解封装,解封装的顺序由下层向上层进行。数据发送者在发送数据时就好像给快递打包一样,将数据从上层向下层进行数据封装,每经过一层就封装一个包头,到达数据链路层后,不仅要封装一个包头,还要追加一个。数据链路层主要对来自物理层的未经加工的原始位流进行处理,通过校验、确认和重发等方式将原始的不可靠的物理连接改为无差错的数据链路。
博客
2025年华为数通方向HCIA题库带解析
04-11 686
TTL 字段由IP数据包的发送者设置,在IP数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改这个TTL字段值,具体的做法是把该TTL的 值减1,然后再将IP包转发出去。试题解析:主机A对应vlan为10,主机B为20,主机C为100,对于SWA,主机A的MAC地址与G0/0/1进行绑定,主机B的MAC地址与G0/0/2进行绑定,主机C的MAC地址绑定G0/0/3口,对于SWB,主机A和B的MAC地址与G0/0/3进行绑定,主机C的MAC地址与G0/0/1进行绑定,因此答案选AB。
博客
2025年华为H31-831题库
03-31 1211
解析:由题可知,R3的区域0和R4的区域0骨干区域不连续,R4会产生10.0.2.2/32的3类lsa发布为area 1 ,R3作为abr设备,从非骨干区域收到3类lsa,基于ospf的区域间防环规则,接收不计算,因此不会将此3类lsa发布给R1,R1不会由10.0.2.2/32的路由,如果想让R1访问,需要在R3和R4之间建立虚连接。解析:由题可知,area1为nssa区域,不允许5类lsa,但是运行3类lsa,因此R4可以通过area0发布的3类lsa实现与area 0的互访,并不需要使用默认路由。
博客
2025年华为HCIP题库分享
03-31 843
解析:RE_D使用as-path-filter过滤的是以as 300结尾的bgp路由条目,而RE_D学习到10.0.0.0/24的路由是从as3600学习到的,as3600能够学习到两条10.0.0.0/24的路由,as-path 分别为 300 3300 、200 3400 3300,通过路由优选,as3600的设备只会讲as-path为300 3300的路由发布给RE_D,次路由并不能被过滤,因此RE_D学习的10.0.0.0/24的路径属性为3600 300 3300,选择路径1转发。
博客
软考网络工程师上午题
03-26 439
不同的是,开启了IMAP后,您在电子邮件客户端收取的邮件仍然保留在服务器上,同时在客户端上的操作都会反馈到服务器上,如:删除邮件,标记已读等,服务器上的邮件也会做相应的动作。虚拟存储技术就是利用实际内存空间和相对大的多的外部储存器存储空间相结合构成一个远远大于实际内存空间的虚拟存储空间,程序就运行在这个虚拟存储空间中,能够实现虚拟存储的依据是程序的局部性原理,即程序在运行过程中经常体现出运行在某个局部范围之内的特点。如在,浏览器就使用CA相应的公钥对证书解密,这样就得到了服务器的公钥。
博客
OSPF与BFD联动配置
03-19 893
BFD与OSPF联动就是将BFD和OSPF协议关联起来,通过BFD对链路故障的快速感应进而通知OSPF协议,从而加快OSPF协议对于网络拓扑变化的响应。① 本地BFD报文实际发送时间间隔=MAX { 本地配置的发送时间间隔,对端配置的接收时间间隔 }② 本地BFD报文实际接收时间间隔=MAX { 对端配置的发送时间间隔,本地配置的接收时间间隔 } 异步模式:本地BFD报文实际检测时间=本地BFD报文实际接收时间间隔×对端配置的BFD检测倍数。查看OSPF的bfd会话。
博客
2025年HCIA题库华为认证H12-811
03-17 1314
试题解析:ping -d的作用是设置socket为debug模式,ping -a的作用是指定echo request报文的源ip地址 ,ping -s的作用是设置echo request报文的报文长度,ping -n的作用是将host 参数直接作为ip地址,而不需做域名解析。试题解析:路由器工作在网络层,一般作为网络的出口设备,所以可以作为网关设备,路由器通过查询路由表实现ip报文的转发,路由器的每一个接口单独属于一个广播域, 所以路由器可以接收处理广播报文,但是不能转发广播报文,从而来隔离广播域。
博客
华为中小型企业项目案例
03-17 1863
在PC1上通过DHCP获得地址并查看IP地址,如图17-2所示。在PC2上通过DHCP获得地址并查看IP地址,如图17-3所示。通过以上输出可以看到eth-trunk 2带宽达到了2G,PC3通过DHCP获得地址并查看IP地址,如图17-4所示。PC3通过DHCP获得地址并查看IP地址,如图17-5所示。在PC1上访问3.3.3.3,如图17-6所示。图17-4 在PC3上查看IP地址。图17-2 在PC1上查看IP地址。图17-3 在PC2上查看IP地址。图17-5在PC4上查看IP地址。
博客
HCIE笔记填空题(H12-891)
02-26 442
3、SR-MPLS TE隧道保护机制有多种,其中( )(填写英文术语,仅首字母大写)FRR采用构造一个虚拟节点的方式,将多个相同的路由发布节点转换为单个路由发布节点,然后按TT-LFA 算法计算虚拟节点的备份下一跳,从而实现故障发生时流量的快速切换。7、IPsec 中的认证头AH(Authanticati n Header,报文认证头协议〕是一种基于IP的传输层协议,其IP协议号为( )(填写阿拉伯数字)。想要解答版的朋友可以VX小程序搜索(卓应教育joinlabs)
博客
2024年软考网络工程师中级题库
09-25 3018
参考解析1:BGP是一种实现AS和AS之间的路由协议,传输层用的承载协议是TCP的179端口,BGP是一种距离矢量路由协议,严格的说应该叫路径矢量路由协议,BGP的着眼点不在于发现和计算路由,而在于在AS之间选择最佳路由和控制路由的传播,因此不会暴露AS内部的网络拓扑,BGP从设计上避免了环路的发生,在AS之间,BGP通过携带AS路径信息来标记途经的AS,带有本地AS号的路由将被丢弃,从而避免了域间产生环路,在AS内部BGP在AS内学到的路由不再通告给AS内的BGP邻居,避免了AS内产生环路。
博客
ACL的基本配置
08-27 6188
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问。华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作。
博客
ACL的原理
08-27 944
随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
博客
三层链路聚合
08-27 1621
通过以上输出,eth-trunk处于工作状态,g0/0/0、g0/0/1、g0/0/2都处于活动状态。图11-17 三层链路聚合。本文出自作者的《HCIA Datacom学习指南》② 掌握控制静态LACP模式下控制活动链路的方法。通过以上输出可以看到AR1和AR2是可以通信的。① 掌握使用静态LACP模式配置链路聚合的方法。在文章最后加作者VX:可以免费领取以下资料。(1)查看eth-trunk 1的状态。③ 掌握静态LACP的部分特性的配置。创建eth-trunk编号为1。
博客
华为认证HCIA+HCIP+HCIE(超3000题含答案解析)
08-23 2148
解析:hello报文的作用是建立和维护邻居关系,DD报文的作用是选举主从关系以及描述lsdb的摘要信息。解析:地址转化技术(NAT)可以实现私网IP地址转换成公网IP,从而实现私网访问公网,并且NAPT可以让多个私网IP转换成一个公网IP的多个端口号,从而实现许多个主机共享一个地址上网,地址转换可以屏蔽内部网络的用户,提高内部网络的安全性。我这里有华为数据通信的所有的考试题库,考试代码为H12-811、H12-821、H12-831,H12-891有需要的可以过来我拿,保证考试可以通过(怎么拿底部找我)。
博客
以太网链路聚合(LACP模式)
08-19 2812
活动接口则比较接口优先级,优先级数值低的优选为活动接口,数值一样则比较接口编号的大小,越小越优先。通过以上输出可知,修改了最大活动链路的数目为2,现在有4条链路,所以有二条链路为非活动链路,根据端口号,默认选择g0/0/5 和g0/0/6为非活动接口。图11-13在PC1上手动添加IP地址。通过以上输出可以看到,端口优先虽然变成了88,但是g0/0/5、g0/0/6还是没有成为活动接口,因为我们没有开启抢占功能。(6)在LSW1上把接口g0/0/5和g0/0/6的优先级变成88,让这两个接口成为活动接口。
博客
链路聚合配置(手工模式)
08-19 2744
这种机制把数据帧中的地址通过HASH算法生成HASH-KEY值,然后根据这个数值在Eth-Trunk转发表中寻找对应的出接口,不同的MAC或IP地址HASH得出的HASH-KEY值不同,从而出接口也就不同,这样既保证了同一数据流的帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担。在使用Eth-Trunk转发数据时,由于聚合组两端设备之间有多条物理链路,就会产生同一数据流的第一个数据帧在一条物理链路上传输,而第二个数据帧在另外一条物理链路上传输的情况。PC2、PC3、PC4同理。
博客
以太网链路聚合的原理(全网最详细的)
08-15 1908
以太网链路聚合Eth-Trunk简称链路聚合,通过将多个物理接口捆绑为一个逻辑接口,可以在不进行硬件升级的条件下,达到增加链路带宽的目的。增加带宽:链路聚合接口的最大带宽可以达到各成员接口带宽之和。提高可靠性:当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高链路聚合接口的可靠性。负载分担:在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。11.1.2。
博客
2024年华为认证H12-811题库(超级好用的刷题软件)
08-14 2399
试题解析:高级ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、ICMP类型、源目的端口,生效时间段来定义规则,二层ACL使用以太网帧头来定义规则,如根据源目MAC地址二层协议等,用户自定义ACL可以使用用户自定义字符串来定义规则,所以答案选ABD。试题解析:NAPT是从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率,所以napt是通过端口号区分不同的ip地址的。因此答案选ABCD。
博客
2024年8月华为HCIE笔试填空题(超好用的刷题软件)
08-14 3062
若想实现R1访问4.4.4.0/24时,R4不需要查询标签表但能够了解该数据的转发优先级,则R3对于该FEC的出标签为( )(请直接填写阿拉伯数字,不要有符号)填空。R1和R4只支持Ipv4。22、ISP收敛速度比BGP 快,可能会导致网络流量丢失问题,通过使能设备的0SPF 与 BGP 联动特性,让设备在设定的联动时间内保持为( )(注:填空选,如涉及英文字母,全大写)路由器,使其发布的LSA中的链路度量值为最大值,从而告和其它0SPF 设备不要使用这个路由器来转发数据,以避免流量的丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值