网络运维与网络安全学习笔记2023.11.25

网络运维与网络安全学习笔记第二十六天

今日目标

ACL原理与类型、基本ACL配置、高级ACL配置

高级ACL之ICMP、高级ACL之telnet

ACL原理与类型

项目背景

为了企业的业务安全，要求不同部门对服务器有不同的权限

PC1不能访问Server

PC2允许访问Server

允许其他所有流量互通

项目分析

如果想要控制设备之间的连通性，必须搞清楚数据转发的路径

在数据转发路径上的某些节点设备上，使用控制策略，过滤数据包
解决方案

现网中，实现流量访问控制的方法有两种

控制路由条目 - 在数据包转发路径上的三层设备上，通过路由策略，拒绝路由条目，从而确保数据包无法互通

控制数据包转发 - 在数据包转发路径上的任何一个设备的接口下，调用专门的"流量控制工具"，比如ACL
配置命令

①配置终端设备 - PC1

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

②配置终端设备 - PC2

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

③配置终端设备 - Server

地址：192.168.100.1

掩码：255.255.255.0

网关：192.168.100.254

④配置网络设备 - R1

system-view

$Huawei$ sysname R1

$R1$ interface GigabitEthernet0/0/1 //连接PC1

$R1-GigabitEthernet0/0/1$ ip address 192.168.1.254 24 //配置IP地址

$R1-GigabitEthernet0/0/1$ quit

$R1$ interface GigabitEthernet0/0/2 //连接PC2

$R1-GigabitEthernet0/0/2$ ip address 192.168.2.254 24 //配置IP地址

$R1-GigabitEthernet0/0/2$ quit

⑤配置ACL

$R1$ acl 2000 //创建基本ACL

$R1-acl-basic-2000$ rule 10 deny source 192.168.1.1 0.0.0.255

$R1-acl-basic-2000$ quit

$R1$ interface GigabitEthernet0/0/0 //连接Server1的接口

$R1-GigabitEtherner0/0/0$ traffic-filter outbound acl 2000

$R1-GigabitEtherner0/0/0$ quit

⑥测试

display acl all //查看设备上所有的ACL

display acl 2000 //查看ACL2000的内容

PC1不能ping通Server1

PC2不能ping通Server2

PC1可以ping通PC2

ACL概述

ACL（Access Control List），访问控制列表

主要用于在众多类型的数据包中，"匹配/抓取"感兴趣的数据

是一个包含了多个"规则"的列表，不同规则通过"规则号"进行区分

每个"规则"都包含：动作 + 条件两部分内容

动作分为：允许（permit）和拒绝（deny）

条件分为：地址（address）和通配符（wildcard bits）

ACL解析

ACL 举例

acl 2000

rule 10 permit source 192.168.1.0 0.0.255
ACL讲解

2000，表示的是"ACL的名字"，是可以通过ID表示，也可通过字符表示

Rule，表示的是"规则"

10，表示的是"规则号"，取值范围是0-4294967294

Permit，表示的是动作 - 允许；（deny 表示的是动作 - 拒绝）

Source，表示当前的"规则"检查的是数据包的"源"地址

源IP地址，表示的是"源IP地址的范围"

通配符，表示的是"与源IP地址对应的通配符"
ACL类型

基本ACL-只能匹配"源IP地址"，不能匹配其他的信息，匹配数据不精准，所用的ID取值范围是：2000-2999

高级ACL-可以匹配"源IP地址"、"目标IP地址"、"协议号"、"端口号"等，匹配数据更加精准，所用ID取值范围是：3000-3999
配置思路

确定PC1与Server之间的数据转发路径

确定转发路径上的转发设备有哪些，判断在哪个设备上配置ACL

判断数据包在每个端口上的转发方向，确定ACL的配置命令和调用方向
配置命令

配置ACL

acl 2000

rule 10 deny source 192.168.1.0 0.0.0.255

调用ACL

interface gi0/0/0

traffic-filter outbound acl 2000

验证与测试

PC1>ping 192.168.100.1 ，不通

PC1>ping 192.168.2.1 ，通

PC2>ping 192.168.100.1 ，通
项目总结

ACL用来匹配数据包，并实现数据包的过滤

ACL的类型分为：基本ACL和高级ACL，使用不同的ID范围表示

基本ACL，只能匹配数据包的源IP地址，匹配数据不精准

高级ACL，可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号等字段，匹配数据包更加精准

ACL必须先配置，再调用，并且再端口调用时是有方向的。

基本ACL配置

项目背景

公司存在2个部门，为了确保业务安全，需规划安全控制策略

不允许"售后服务部"以任何的方式访问"财务部"服务器

"售后服务器"可以访问网络的任何其他设备

项目分析

对数据流量进行控制，所以选择使用工具 - ACL

要求"不以任何方式"访问，所以采用"基本ACL"

要求"允许访问"其他设备，所以调用在"服务器网关"设备上
解决方案
配置思路

如图配置设备IP地址

配置路由条目，确保不同网段之间可以互通

测试设备之间的连通性，所有网段均可互通

确定部署ACL的设备 - R2

确定部署ACL的接口 - 财务服务器"网关"接口

配置ACL，过滤源IP地址为"售后服务部"网段

在R2连接"服务器"的接口的出方向，调用ACL

验证并测试ACL
配置命令

①配置终端设备 - PC1

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

②配置终端设备 - PC2

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

③配置终端设备 - 财务服务器

地址：192.168.3.1

掩码：255.255.255.0

网关：192.168.3.254

④配置网络设备 - R1

system-view

$Huawei$ sysname R1

$R1$ interface GigabitEthernet0/0/1 //连接PC1

$R1-GigabitEthernet0/0/1$ ip address 192.168.1.254 24

$R1-GigabitEthernet0/0/1$ quit

$R1$ interface GigabitEthernet0/0/0 //连接R2的接口

$R1-GigabitEthernet0/0/0$ ip address 192.168.12.1 24

$R1-GigabitEthernet0/0/0$ quit

$R1$ ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目

$R1$ ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由条目

⑤配置网络设备 - R2

system-view

$Huawei$ sysname R2

$R2$ interface GigabitEthernet0/0/1 //连接PC2

$R2-GigabitEthernet0/0/1$ ip address 192.168.2.254 24

$R2-GigabitEthernet0/0/1$ quit

$R2$ interface GigabitEthernet0/0/0 //连接R1的接口

$R2-GigabitEthernet0/0/0$ ip address 192.168.12.2 24

$R2-GigabitEthernet0/0/0$ quit

$R2$ interface GigabitEthernet0/0/2 //连接服务器的接口

$R2-GigabitEthernet0/0/2$ ip address 192.168.3.254 24

$R2-GigabitEthernet0/0/2$ quit

$R2$ ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往PC1的路由条目

⑥配置网络设备 - SW1

undo terminal monitor

system-view

$Huawei$ sysname SW1

$SW1$ vlan 10

$SW1-vlan10$ quit

$SW1$ interface GigabitEthernet0/0/1

$SW1-GigabitEthernet0/0/1$ port link-type access

$SW1-GigabitEthernet0/0/1$ port default vlan 10

$SW1-GigabitEthernet0/0/1$ quit

$SW1$ interface GigabitEthernet0/0/2

$SW1-GigabitEthernet0/0/2$ port link-type access

$SW1-GigabitEthernet0/0/2$ port default vlan 10

$SW1-GigabitEthernet0/0/2$ quit

⑦配置网络设备 - SW2

undo terminal monitor

system-view

$Huawei$ sysname SW2

$SW2$ vlan 20

$SW2-vlan20$ quit

$SW2$ interface GigabitEthernet0/0/1

$SW2-GigabitEthernet0/0/1$ port link-type access

$SW2-GigabitEthernet0/0/1$ port default vlan 20

$SW2-GigabitEthernet0/0/1$ quit

$SW2$ interface GigabitEthernet0/0/2

$SW2-GigabitEthernet0/0/2$ port link-type access

$SW2-GigabitEthernet0/0/2$ port default vlan 20

$SW2-GigabitEthernet0/0/2$ quit

⑧配置控制策略并调用

$R2$ acl 2000

$R2-acl-basic-2000$ rule 10 deny source 192.168.1.0 0.0.0.255

$R2-acl-basic-2000$ quit

$R2$ interface GigabitEthernet0/0/2

$R2-GigabitEthernet0/0/2$ traffic-filter outbound acl 2000

$R2-GigabitEthernet0/0/2$ quit

配置路由条目 - R1

ip route-static 192.168.2.0 24 192.168.12.2

ip route-static 192.168.3.0 24 192.168.12.2

配置路由条目 - R2

ip route-static 192.168.1.0 24 192.168.12.1

创建ACL - R2

acl 2000

rule 10 deny source 192.168.1.0 0.0.0.255

调用ACL - R2

interface GigabitEthernet0/0/2

traffic-filter outbound acl 2000

验证与测试ACL

$R2$ display acl all，查看设备上所有的ACL

$R2$ display traffic-filter applied-record，查看设备上已经被调用的ACL

PC1>ping 192.168.3.1，不通

$R1$ ping -a 192.168.1.254 192.168.3.1，不通

PC2>ping 192.168.3.1，通

$R2$ ping -a 192.168.2.254 192.168.3.1，通
总结

基本ACL只能匹配源IP地址，过滤数据的效率非常高

基本ACL有一个默认的隐含的动作是"允许所有"

基本ACL尽量调用在距离"目标设备"近的设备/接口上

高级ACL配置

项目背景

为了增强企业内网安全，实施业务隔离以及访问权限控制

三个部门属于不通的IP地址网段

售后部仅仅能访问Server1上的Web服务，不能访问其他服务

售后部可以访问行政部的所有设备的任何服务

除了上述权限外，售后部不能访问网络中的其他任何地方

** 项目分析**

不同部门之间存在特定业务流量控制，所以用高级ACL

高级ACL可以精确区分流量，尽量调用在距离源设备近的地方
解决方案

如图配置设备IP地址

配置路由条目，确保不同网段之间互通

测试设备之间的连通性，所有网段均可互通

确定部署ACL的设备 - R1

确定部署ACL的接口 - PC1"网关"接口

配置高级ACL，精准匹配业务流量

在R1连接"PC1"的接口的入方向，调用ACL

验证并测试ACL
配置命令

配置路由条目 - R1

ip route-static 0.0.0.0 0 192.168.12.2

配置路由条目 - R2

ip route-static 192.168.1.0 24 192.168.12.1

ip route-static 192.168.3.0 24 192.168.23.3

配置路由条目 - R3

ip route-static 0.0.0.0 0 192.168.23.2

创建ACL - R1

acl 3000

rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80

rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

rule 30 deny ip source 192.168.1.1 0 destination any

调用ACL - R1

interface GigabitEthernet0/0/2

traffic-filter inbound acl 3000

验证与测试ACL

$R1$ display acl all ，查看设备上所有的ACL

$R1$ display traffic-filter applied-record，查看设备上已经被调用的ACL

PC1通过http客户端访问Server1，成功

PC1通过ping访问Server1，失败

PC1 ping PC2，成功

PC1访问其他网段，失败
总结

高级ACL匹配数据更加精准，适合细分业务流量的管理控制

高级ACL尽量调用再距离"源设备"近的设备/接口上
配置步骤

①配置终端设备 - 售后服务部

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

②配置终端设备 - 行政部

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

③配置终端设备 - Web服务器

地址：192.168.3.1

掩码：255.255.255.0

网关：192.168.3.254

配置Web服务：指定Web服务器目录，启动Web服务

④配置网络设备 - R1

system-view

$Huawei$ sysname R1

$R1$ interface GigabitEthernet0/0/2 //连接售后服务部

$R1-GigabitEthernet0/0/2$ ip address 192.168.1.254 24

$R1-GigabitEthernet0/0/2$ quit

$R1$ interface GigabitEthernet0/0/0 //连接R2的接口

$R1-GigabitEthernet0/0/0$ ip address 192.168.12.1 24

$R1-GigabitEthernet0/0/0$ quit

$R1$ ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

⑤配置网络设备 - R2

system-view

$Huawei$ sysname R2

$R2$ interface GigabitEthernet0/0/2 //连接行政部

$R2-GigabitEthernet0/0/2$ ip address 192.168.2.254 24

$R2-GigabitEthernet0/0/2$ quit

$R2$ interface GigabitEthernet0/0/1 //连接R1的接口

$R2-GigabitEthernet0/0/1$ ip address 192.168.12.2 24

$R2-GigabitEthernet0/0/1$ quit

$R2$ interface GigabitEthernet0/0/0 //连接R3的接口

$R2-GigabitEthernet0/0/0$ ip address 192.168.23.2 24

$R2-GigabitEthernet0/0/0$ quit

$R2$ ip route-static 192.168.1.0 255.255.255.0 192.168.12.1

$R2$ ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

⑥配置网络设备 - R3

system-view

$Huawei$ sysname R3

$R3$ interface GigabitEthernet0/0/2 //连接web服务器

$R3-GigabitEthernet0/0/2$ ip address 192.168.3.254 24

$R3-GigabitEthernet0/0/2$ quit

$R3$ interface GigabitEthernet0/0/1 //连接R2的接口

$R3-GigabitEthernet0/0/1$ ip address 192.168.23.3 24

$R3-GigabitEthernet0/0/1$ quit

$R3$ ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

⑦在R1上配置并调用ACL

$R1$ acl 3000

$R1-acl-adv-3000$ rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80

$R1-acl-adv-3000$ rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

$R1-acl-adv-3000$ rule 30 deny ip source 192.168.1.1 0 destination any

$R1$ interface GigabitEthernet0/0/2

$R1-GigabitEthernet0/0/2$ traffic-filter inbound acl 3000

高级ACL之ICMP

项目背景

为了增强企业内外安全，实施业务隔离以及访问权限控制

三个部门属于不用的IP地址网段

售后部仅仅能ping通Server1，不能访问其他服务

售后部可以访问行政部的所有设备的任何服务

除了上述权限外，售后部不能访问网络中的其他任何地方

项目分析

不同部门之间存在特定业务流量控制，所以用高级ACL

高级ACL可以精确区分流量，尽量调用在距离源设备近的地方
配置思路

如图配置设备IP地址

配置路由条目，确保不同网段之间互通

测试设备之间的连通性，所有网段均可互通

确定部署ACL的设备 - R1

确定部署ACL的接口 - PC1"网关"接口

配置高级ACL，精准匹配业务流量

在R1连接"PC1"的接口的入方向，调用ACL

验证并测试ACL
配置命令

配置路由条目 - R1

ip route-static 0.0.0.0 0 192.168.12.2

配置路由条目 - R2

ip route-static 192.168.1.0 24 192.168.12.1

ip route-static 192.168.3.0 24 192.168.23.3

配置路由条目 - R3

ip route-static 0.0.0.0 0 192.168.23.2

创建ACL - R1

acl 3000

rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80

rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

rule 30 deny ip source 192.168.1.1 0 destination any

调用ACL - R1

interface GigabitEthernet0/0/2

traffic-filter inbound acl 3000

验证与测试ACL

$R1$ display acl all ，查看设备上所有的ACL

$R1$ display traffic-filter applied-record，查看设备上已经被调用的ACL

PC1通过http客户端访问Server1，成功

PC1通过ping访问Server1，失败

PC1 ping PC2，成功

PC1访问其他网段，失败
配置步骤

①配置终端设备 - 售后服务部

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

②配置终端设备 - 行政部

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

③配置终端设备 - Web服务器

地址：192.168.3.1

掩码：255.255.255.0

网关：192.168.3.254

配置Web服务：指定Web服务器目录，启动Web服务

④配置网络设备 - R1

system-view

$Huawei$ sysname R1

$R1$ interface GigabitEthernet0/0/2 //连接售后服务部

$R1-GigabitEthernet0/0/2$ ip address 192.168.1.254 24

$R1-GigabitEthernet0/0/2$ quit

$R1$ interface GigabitEthernet0/0/0 //连接R2的接口

$R1-GigabitEthernet0/0/0$ ip address 192.168.12.1 24

$R1-GigabitEthernet0/0/0$ quit

$R1$ ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

⑤配置网络设备 - R2

system-view

$Huawei$ sysname R2

$R2$ interface GigabitEthernet0/0/2 //连接行政部

$R2-GigabitEthernet0/0/2$ ip address 192.168.2.254 24

$R2-GigabitEthernet0/0/2$ quit

$R2$ interface GigabitEthernet0/0/1 //连接R1的接口

$R2-GigabitEthernet0/0/1$ ip address 192.168.12.2 24

$R2-GigabitEthernet0/0/1$ quit

$R2$ interface GigabitEthernet0/0/0 //连接R3的接口

$R2-GigabitEthernet0/0/0$ ip address 192.168.23.2 24

$R2-GigabitEthernet0/0/0$ quit

$R2$ ip route-static 192.168.1.0 255.255.255.0 192.168.12.1

$R2$ ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

⑥配置网络设备 - R3

system-view

$Huawei$ sysname R3

$R3$ interface GigabitEthernet0/0/2 //连接web服务器

$R3-GigabitEthernet0/0/2$ ip address 192.168.3.254 24

$R3-GigabitEthernet0/0/2$ quit

$R3$ interface GigabitEthernet0/0/1 //连接R2的接口

$R3-GigabitEthernet0/0/1$ ip address 192.168.23.3 24

$R3-GigabitEthernet0/0/1$ quit

$R3$ ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

⑦在R1上配置并调用ACL

$R1$ acl 3000

$R1-acl-adv-3000$ rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80

$R1-acl-adv-3000$ rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255

$R1-acl-adv-3000$ rule 30 deny ip source 192.168.1.1 0 destination any

$R1$ interface GigabitEthernet0/0/2

$R1-GigabitEthernet0/0/2$ traffic-filter inbound acl 3000
项目总结

高级ACL匹配数据更加精准，适合细跟业务流量的管理控制

高级ACL尽量调用距离"源设备"近的设备/接口上

一个ACL中窜在多个条目时，数据的匹配顺序按照rule号从小到大依次执行

在ACL条目匹配数据的过程中，如果有一个条目匹配成功，后续的条目就不再查看，直接执行"permit"或者"deny"

如果ACL中的所有条目，都没有匹配成功，则执行最后一个隐含的条目

高级ACL之Telnet

项目背景

为了便于设备管理，为设备开启远程管理功能，登录密码：HCIE

仅仅允许192.168.1.254远程登录R2，其他设备不可以

拒绝R1的任何IP地址远程登录R3，其他设备都可以

项目分析

针对远程登录操作，访问的都是设备的"远程登陆"虚拟接口

对于虚拟接口，使用"基本ACL"，可实现"远程登录"过滤
配置思路

如图配置设备IP地址

配置路由条目，确保不同网段之间互通

测试设备之间的连通性，所有网段均可互通

确定部署ACL的设备 - R2和R3

确定部署ACL的接口 - R2和R3的"远程访问"虚拟接口

配置基本ACL，仅仅匹配允许的IP地址即可

在R2和R3的"远程登录"虚拟接口的入方向，调用ACL

验证并测试ACL
配置命令

配置路由条目 - R1

ip route-static 0.0.0.0 0 192.168.12.2

配置路由条目 - R2

ip route-static 192.168.1.0 24 192.168.12.1

ip route-static 192.168.3.0 24 192.168.23.3

配置路由条目 - R3

ip route-static 0.0.0.0 0 192.168.23.2

配置R2的远程访问功能

user-interface vty 0 4

authentication-mode password

please configure the login password (maximum length 16):HCIE

配置R3的远程访问功能

user-interface vty 0 4

authentication-mode password

please configure the login password (maximum length 16):HCIE

创建ACL - R2

acl 2000

rule 10 permit source 192.168.1.254 0

调用ACL - R2

user-interface vty 0 4

acl 2000 inbound

创建ACL - R3

acl 2000

rule 10 deny source 192.168.1.254 0

rule 20 deny source 192.168.12.1 0

rule 30 deny source any

调用ACL - R3

user-interface vty 0 4

acl 2000 inbound

验证与测试ACL

$R2$ display acl all ，查看设备上所有的ACL

$R3$ display acl all ，查看设备上所有的ACL

telnet -a 192.168.1.254 192.168.12.2，登录成功

telnet 192.168.12.2，登录失败

telnet 192.168.23.3，登录失败

telnet -a 192.168.1.254 192.168.23.3，登录失败

telnet 192.168.23.3，登录成功
配置步骤

①配置终端设备 - 售后服务部

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

②配置终端设备 - 行政部

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

③配置终端设备 - Web服务器

地址：192.168.3.1

掩码：255.255.255.0

网关：192.168.3.254

配置Web服务：指定Web服务器目录，启动Web服务

④配置网络设备 - R1

system-view

$Huawei$ sysname R1

$R1$ interface GigabitEthernet0/0/2 //连接售后服务部

$R1-GigabitEthernet0/0/2$ ip address 192.168.1.254 24

$R1-GigabitEthernet0/0/2$ quit

$R1$ interface GigabitEthernet0/0/0 //连接R2的接口

$R1-GigabitEthernet0/0/0$ ip address 192.168.12.1 24

$R1-GigabitEthernet0/0/0$ quit

$R1$ ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

⑤配置网络设备 - R2

system-view

$Huawei$ sysname R2

$R2$ interface GigabitEthernet0/0/2 //连接行政部

$R2-GigabitEthernet0/0/2$ ip address 192.168.2.254 24

$R2-GigabitEthernet0/0/2$ quit

$R2$ interface GigabitEthernet0/0/1 //连接R1的接口

$R2-GigabitEthernet0/0/1$ ip address 192.168.12.2 24

$R2-GigabitEthernet0/0/1$ quit

$R2$ interface GigabitEthernet0/0/0 //连接R3的接口

$R2-GigabitEthernet0/0/0$ ip address 192.168.23.2 24

$R2-GigabitEthernet0/0/0$ quit

$R2$ ip route-static 192.168.1.0 255.255.255.0 192.168.12.1

$R2$ ip route-static 192.168.3.0 255.255.255.0 192.168.23.3

$R2$ user-inteface vty 0 4

$R2-ui-vty0-4$ authentication-mode password

Please configure the login password (maximum length 16)：HCIE

⑥配置网络设备 - R3

system-view

$Huawei$ sysname R3

$R3$ interface GigabitEthernet0/0/2 //连接web服务器

$R3-GigabitEthernet0/0/2$ ip address 192.168.3.254 24

$R3-GigabitEthernet0/0/2$ quit

$R3$ interface GigabitEthernet0/0/1 //连接R2的接口

$R3-GigabitEthernet0/0/1$ ip address 192.168.23.3 24

$R3-GigabitEthernet0/0/1$ quit

$R3$ ip route-static 0.0.0.0 0.0.0.0 192.168.23.2

$R3$ user-interface vty 0 4

$R3-ui-vty0-4$ authentication-mode password

Please configure the login password (maximum length 16)：HCIE

⑦在R2上配置并调用ACL

$R2$ acl 2000

$R2-acl-basic-2000$ rule 10 permit source 192.168.1.254 0

$R2-acl-basic-2000$ quit

$R2$ user-interface vty 0 4

$R2-ui-vty0-4$ acl 2000 inbound

$R2-ui-vty0-4$ quit

⑦在R3上配置并调用ACL

$R3$ acl 2000

$R3-acl-basic-2000$ rule 10 deny source 192.168.1.254 0

$R3-acl-basic-2000$ rule 20 deny source 192.168.12.1 0

$R3-acl-basic-2000$ rule 30 deny source any

$R3-acl-basic-2000$ quit

$R3$ user-interface vty 0 4

$R3-ui-vty0-4$ acl 2000 inbound

$R3-ui-vty0-4$ quit
项目总结

ACL最后一个隐含的动作时"拒绝所有"

但是用traffic-filter 调用时，ACL默认行为是"允许所有"

网络运维与网络安全 学习笔记2023.11.25

今日目标

ACL原理与类型

ACL概述

ACL解析

基本ACL配置

高级ACL配置

高级ACL之ICMP

高级ACL之Telnet

网络运维与网络安全学习笔记2023.11.25