ACL运用----企业设备配置流量

最新推荐文章于 2022-12-22 00:43:04 发布
最新推荐文章于 2022-12-22 00:43:04 发布
阅读量285 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: ACL运用 企业流量配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44520274/article/details/86525270

1.实验要求:

1)R1只允许WG登录,WG能ping通Sever1和Client1
2)研发(YF)和财务(CW)不能互通,但是可以与网关(WG)互通
3)研发(YF)可以访问Client1
4)财务 (CW)不能访问Client1
5)研发(YF)和财务(CW)只能访问Sever1的www服务
6)只有网管(WG)可以访问Sever1的所有服务

2.实验拓扑

在这里插入图片描述

3.配置命令

1.配置终端设备
YF:
192.168.20.1
255.255.255.0
192.168.20.254
CW:
192.168.30.1
255.255.255.0
192.168.30.254
Server1:
192.168.1.1
255.255.255.0
192.168.1.254
2.配置网络设备
WG
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.10.1 24
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.10.254

AR10
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.20.254 24
[Huawei-GigabitEthern

最低0.47元/天 解锁文章

新学期VIP享超值加赠
dingzhongxing
关注
小型企业网络架构及ACL应用(★亲测)
小阿军的博客
07-11 1404
一、实验的目的: 通过此实验可对小型的企业网络架构有一定的了解 通过此实验可搭建简单的小型企业网络架构 通过此实验可对小型的企业架构具备一定的故障排除能力 通过此实验可对三层交换机和二层交换机深层次的了解 通过此实验可对ACL访问控制列表有一定的了解 二、实验的要求: 1、核心交换机和楼层汇聚交换机均是三层交换机,楼层接入交换机均是二层交换机 2、各个楼层的终端,可以互相访问 3、不允许PC2和PC3的终端访问服务器 三、实验的思路: 首先看清楚实验的目的 从左往右,依次配..
ACL-VLANIF的Inbound和Outbound区别
Welcome To OpenClouds World !!!
10-16 7309
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。2、ACL分类(1)基本ACLACL编号2000-2999,只能用报文的源IP地址、分片时间和生效时间段来定义规则;(2)高级ACLACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
ACL详解
享你所想
12-22 9097
就比如说做流控,不是说不让访问,可以访问,但要对流量、速度等做一些限制,遇到这样的情况,光靠这两种动作是无法实现这个功能的,所以,ACL在某些情况下只做第一件事 --- 只抓取流量,但不去做动作。某些设备配置ACLACL中声明了一些匹配规则,通过这个规则来匹配一些流量,对匹配到的流量再执行相应的动作,即,提前设定好了怎么处理这些流量,比如说,是让它访问还是不让访问,从而就实现了控制的功能。---- 通过telnet管理路由器 ---- 通过web界面管理路由器 ---- 通过SNMP协议进行设备管理。
ACL原理应用
m0_64361111的博客
12-30 4122
ACL原理应用 利用acl实现 主机1可以访问web但不能访问ftp 主机2可以访问ftp但不能访问web 拓扑图ENSP 配置主机和服务器IP地址 主机1 Ip:192.168.1.1 子网掩码:255.255.255.0 网关:192.168.1.254 主机2 IP:192.168.2.1 子网掩码:255.255.255.0 网关:192.168.2.254 ftp服务器: IP:192.168.3.1 子网掩码:255.255.255.0 网关:192.168.
华为交换机ACL配置规则及实例
热门推荐
ChaseAug的博客
11-12 4万+
ACL(访问控制列表)的应用原则: 标准ACL,尽量用在靠近目的点 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 方向:在应用时,一定要注意方向 ACL分类 基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL #范围为3000~3999 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则 二层ACL #
ACL访问控制列表
xiaoquan0805的博客
07-25 348
实验需求: 所有红色代表允许通过 紫色是源目标IP地址 绿色是目标IP地址 R15只允许WG登录(远程登录) YF和CW之间不能互通,但都可以和WG互通 WG和YF可以访问Client1 CW不能访问Client1 YF和CW只能访问Server1的WWW服务 只有WG才能访问Server1的所有服务 配置思路: 1、 先实现全网互通、在每一台路由器上都配置好本机没有的路由表、每一台服务...
网络设计与集成-ACL配置-实验三报告.doc
04-27
4. **基本ACL配置**:创建命名ACL,阻止来自BR路由器G0/0/0接口的任何计算机访问HQServer所在网段,允许其他所有流量。同样,配置一个ACL阻止来自HQ路由器G0/0/0接口的任何计算机访问BRServer所在网段,允许所有其他...
华为ACL-基础配置篇.pdf
06-05
**华为ACL基础配置详解**...通过理解和熟练运用这些基础配置,可以有效地管理网络流量,保护网络安全,并实现特定的访问控制策略。在实际操作时,应根据具体需求灵活配置和调整ACL规则,确保网络服务的安全性和可靠性。
ACL和prefix-list抓取路由条目解析.doc
08-20
在路由器配置网络管理中,路由条目的过滤和属性修改是一项关键任务,这通常通过访问控制列表(Access Control Lists, ...在实际网络环境中,根据需求和具体情况灵活运用这两种工具,可以有效地管理和优化网络流量
神州数码DCR-2855路由器操作配置手册
04-28
用户可以学习到如何通过Web界面轻松地对设备进行管理,这包括了无线网络配置、虚拟服务器的创建、NAT转换以及QoS策略的设置,这些都对于优化网络性能和流量管理至关重要。此外,手册还介绍了如何查看系统日志、...
ensp配置ACL过滤企业数据 【高级ACL设置访问telnet和ftp】
m0_46314654的博客
07-26 5566
一、实验描述 企业部署了三个网络,其中R2连接的是公司总部网络,R1和R3分别为两个不同分支网络的设备,这三台路由器通过广域网相连。你需要控制员工使用Telnet和FTP服务的权限,R1所在分支的员工只允许访问公司总部网络中的Telnet服务器,R3所在分支的员工只允许访问FTP服务器。 二、实验目的 掌握高级ACL配置方法 掌握ACL在接口下的应用方法 三、实验环境 ENSP 四、工具材料 ENSP 五、实验步骤 步骤一实验环境准备 如果本任务中您使用的是空配置设备,需..
h3c交换机限制端口访问_勒索病毒,华为/H3C三层交换机/路由器用ACL访问控制实现端口禁用...
weixin_39999859的博客
12-21 1万+
前不久勒索病毒横行,很多人都纷纷中招,从公司到个人,损失相当惨重。有些公司在互联网入口上做了控制,但是这样并非完全,万一有人把中了毒的U盘插入网内设备上呢?那我们的内网中很有可能集体中招(打过相关补丁的除外)。我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端口,防止病毒在网络内部蔓延。以华为和H3C设备配置为例。什么?为什么没有思科?要啥自行车,我们需要支持国产!*********...
关于华为ACL日常维护中的一点点经验
yiluyangguang1234的专栏
12-21 6028
关于华为ACL日常维护中的一点点经验和大家分享下 在已经做好的ACL控制策略中, 如192.168.1.0禁止访问192.168.2.0  3.0  4.0  5.0网段 acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 10 deny ip
华为交换机拦截勒索端口
u014379204的博客
06-07 3915
#华为交换机拦截勒索端口 acl number 3456 rule 10 deny tcp destination-port eq 135 rule 15 deny tcp destination-port range 137 139 rule 20 deny tcp destination-port eq 445 rule 25 deny udp destination-port eq 135 rule 30 deny udp destination-port range 137 139 rule 35
acl拒绝网段访问dns_VLAN间访问问题,ACL控制
weixin_35460589的博客
01-12 2376
各位大侠,我的网络中有 VLAN1 :10.100.1.0 VLAN2 :10.100.2.0 VLAN3:10.100.3.0 VLAN10:10.100.10.0 VLAN11:10.100.11.0 VLAN12:10.100.12.0 VLAN13:10.100.13.0 VLAN100:192.168.1.0 VLAN200:10.100.200.0要求是1、 VLAN1只能和VLAN1...
勒索病毒,华为/H3C三层交换机/路由器用ACL访问控制实现端口禁用
HY3031104的博客
09-11 9218
前不久勒索病毒横行,很多人都纷纷中招,从公司到个人,损失相当惨重。有些公司在互联网入口上做了控制,但是这样并非完全,万一有人把中了毒的U盘插入网内设备上呢?那我们的内网中很有可能集体中招(打过相关补丁的除外)。我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端口,防止病毒在网络内部蔓延。以华为和H3C设备配置为例。什么?为什么...
常见蠕虫病毒介绍极其对应的ACL配置策略
weixin_34075551的博客
04-22 576
本文大部分摘自于网络,不过整理到一起而已。 更多的攻击详细介绍,请参考 《Eudemon防火墙安全防范介绍》,请联系当地用服,从用服服务器上获取。目前网络蠕虫病毒是当前网络最大的危害,是造成当前很多网络堵塞的重要原因。但是目前发现的这些蠕虫病毒,容易被防火墙识别出这些被感染的计算机,因为它具有比较明显的地址扫描和连接特征,Eudemon防火墙支持黑名单功能,可以通过显示黑名单列表功能直接查看哪些设...
华为 思科常见命令对照
qingfeng45697的专栏
12-03 9222
华为:sys 思科:enable   华为:sysname  jhj1 思科:hostname  jhj1   华为:vlan 10desc jf5(在没有该vlan的情况下,该命令是创建vlan;当有该vlan的情况下,该命令是进入到该vlan)      Port e0/1   加入一个指定的端口到ID为10的vlan      Port e0/1 to e0/3 加入连续的三
Packet Tracer - 配置扩展IPv4 ACL - 场景 2
最新发布
01-09
### 如何在Packet Tracer中配置扩展IPv4 ACL场景2 #### 配置目标 为了确保特定网络中的设备能够按照预期通信,需要通过配置扩展ACL来过滤进出这些网络流量。对于来自两个不同子网(10.101.117.48/29 和 10.101.117.32/28)的数据流,在千兆以太网接口GigabitEthernet0/2上的出站方向应用名为`access-list 199`的规则集。 #### 创建并定义ACL规则 进入全局配置模式后输入如下指令创建一个新的编号型标准IP访问控制列表: ```shell Router(config)# ip access-list extended 199 ``` 接着添加具体的允许或拒绝条件语句至上述新建的ACL里;例如,如果意图阻止除HTTP请求外其他类型的TCP连接尝试到达某台服务器,则可执行下面这条命令[^1]: ```shell Router(config-ext-nacl)# deny tcp any host 172.22.34.62 neq www ``` 此操作会阻断所有试图向主机172.22.34.62发起非WWW端口(TCP 80)的服务请求。当然也可以依据实际需求调整源地址范围以及目的服务类型等参数设置。 #### 将ACL应用于适当位置 考虑到性能优化原则——即尽可能早地丢弃不被接受的数据包以减少不必要的处理开销——通常建议把扩展ACL部署在网络边界处接近潜在威胁源头的地方。然而在这个案例当中因为涉及到多个独立的小规模子网作为数据发送方,所以更合理的选择是在汇聚层交换机面向广域网一侧也就是路由器向外转发之前实施筛选措施。具体来说就是在R1设备上面针对其下行链路GE0/2运用刚才建立起来的那个策略: ```shell Router(config-if)# interface GigabitEthernet0/2 Router(config-if)# ip access-group 199 out ``` 这一步骤使得凡是准备经由此出口离开本局域网前往外部目的地的一切报文都得先经过刚刚设定好的过滤器检验一番才行[^3]。 #### 测试与验证 完成以上各项配置之后应当立即着手测试新加入的安全机制是否真的生效了。可以通过模拟客户端机器发出各种形式的探测信号比如ICMP Echo Request(Ping),或是利用浏览器加载网页等方式观察响应情况从而判断是否有意料之外的行为发生。另外还可以借助于专门设计用来展示当前活动着的各种路由表项连同它们各自对应的计数统计在内的诊断工具如`show access-lists`命令获取更加直观详尽的信息帮助分析排查可能存在的问题所在[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值