网络运维与网络安全 学习笔记2023.11.25

网络运维与网络安全 学习笔记 第二十六天

今日目标

ACL原理与类型、基本ACL配置、高级ACL配置

高级ACL之ICMP、高级ACL之telnet

ACL原理与类型

项目背景

为了企业的业务安全,要求不同部门对服务器有不同的权限

PC1不能访问Server

PC2允许访问Server

允许其他所有流量互通

项目分析

如果想要控制设备之间的连通性,必须搞清楚数据转发的路径

在数据转发路径上的某些节点设备上,使用控制策略,过滤数据包
解决方案

现网中,实现流量访问控制的方法有两种

控制路由条目 - 在数据包转发路径上的三层设备上,通过路由策略,拒绝路由条目,从而确保数据包无法互通

控制数据包转发 - 在数据包转发路径上的任何一个设备的接口下,调用专门的"流量控制工具",比如ACL
配置命令

①配置终端设备 - PC1

地址:192.168.1.1

掩码:255.255.255.0

网关:192.168.1.254

②配置终端设备 - PC2

地址:192.168.2.1

掩码:255.255.255.0

网关:192.168.2.254

③配置终端设备 - Server

地址:192.168.100.1

掩码:255.255.255.0

网关:192.168.100.254

④配置网络设备 - R1

system-view

Huawei\]sysname R1 \[R1\]interface GigabitEthernet0/0/1 //连接PC1 \[R1-GigabitEthernet0/0/1\]ip address 192.168.1.254 24 //配置IP地址 \[R1-GigabitEthernet0/0/1\]quit \[R1\]interface GigabitEthernet0/0/2 //连接PC2 \[R1-GigabitEthernet0/0/2\]ip address 192.168.2.254 24 //配置IP地址 \[R1-GigabitEthernet0/0/2\]quit ⑤配置ACL \[R1\]acl 2000 //创建基本ACL \[R1-acl-basic-2000\]rule 10 deny source 192.168.1.1 0.0.0.255 \[R1-acl-basic-2000\]quit \[R1\]interface GigabitEthernet0/0/0 //连接Server1的接口 \[R1-GigabitEtherner0/0/0\]traffic-filter outbound acl 2000 \[R1-GigabitEtherner0/0/0\]quit ⑥测试 display acl all //查看设备上所有的ACL display acl 2000 //查看ACL2000的内容 PC1不能ping通Server1 PC2不能ping通Server2 PC1可以ping通PC2 #### ACL概述 ACL(Access Control List),访问控制列表 主要用于在众多类型的数据包中,"匹配/抓取"感兴趣的数据 是一个包含了多个"规则"的列表,不同规则通过"规则号"进行区分 每个"规则"都包含:动作 + 条件 两部分内容 动作分为:允许(permit)和拒绝(deny) 条件分为:地址(address)和通配符(wildcard bits) #### ACL解析 **ACL 举例** acl 2000 rule 10 permit source 192.168.1.0 0.0.255 **ACL讲解** 2000,表示的是"ACL的名字",是可以通过ID表示,也可通过字符表示 Rule,表示的是"规则" 10,表示的是"规则号",取值范围是0-4294967294 Permit,表示的是动作 - 允许;(deny 表示的是动作 - 拒绝) Source,表示当前的"规则"检查的是数据包的"源"地址 源IP地址,表示的是"源IP地址的范围" 通配符,表示的是"与源IP地址对应的通配符" **ACL类型** 基本ACL-只能匹配"源IP地址",不能匹配其他的信息,匹配数据不精准,所用的ID取值范围是:2000-2999 高级ACL-可以匹配"源IP地址"、"目标IP地址"、"协议号"、"端口号"等,匹配数据更加精准,所用ID取值范围是:3000-3999 **配置思路** 确定PC1与Server之间的数据转发路径 确定转发路径上的转发设备有哪些,判断在哪个设备上配置ACL 判断数据包在每个端口上的转发方向,确定ACL的配置命令和调用方向 **配置命令** 配置ACL acl 2000 rule 10 deny source 192.168.1.0 0.0.0.255 调用ACL interface gi0/0/0 traffic-filter outbound acl 2000 验证与测试 PC1\>ping 192.168.100.1 , 不通 PC1\>ping 192.168.2.1 , 通 PC2\>ping 192.168.100.1 , 通 **项目总结** ACL用来匹配数据包,并实现数据包的过滤 ACL的类型分为:基本ACL和高级ACL,使用不同的ID范围表示 基本ACL,只能匹配数据包的源IP地址,匹配数据不精准 高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号等字段,匹配数据包更加精准 ACL必须先配置,再调用,并且再端口调用时是有方向的。 ### 基本ACL配置 **项目背景** 公司存在2个部门,为了确保业务安全,需规划安全控制策略 不允许"售后服务部"以任何的方式访问"财务部"服务器 "售后服务器"可以访问网络的任何其他设备 ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/19795c3da863b51fc39c209fbd7a0914.webp) **项目分析** 对数据流量进行控制,所以选择使用工具 - ACL 要求"不以任何方式"访问,所以采用"基本ACL" 要求"允许访问"其他设备,所以调用在"服务器网关"设备上 **解决方案** **配置思路** 如图配置设备IP地址 配置路由条目,确保不同网段之间可以互通 测试设备之间的连通性,所有网段 均可互通 确定部署ACL的设备 - R2 确定部署ACL的接口 - 财务服务器"网关"接口 配置ACL,过滤源IP地址为"售后服务部"网段 在R2连接"服务器"的接口的出方向,调用ACL 验证并测试ACL **配置命令** ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/6f2b07928732cb34114a32a83e0f9ee5.webp) ①配置终端设备 - PC1 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 ②配置终端设备 - PC2 地址:192.168.2.1 掩码:255.255.255.0 网关:192.168.2.254 ③配置终端设备 - 财务服务器 地址:192.168.3.1 掩码:255.255.255.0 网关:192.168.3.254 ④配置网络设备 - R1 system-view \[Huawei\]sysname R1 \[R1\]interface GigabitEthernet0/0/1 //连接PC1 \[R1-GigabitEthernet0/0/1\]ip address 192.168.1.254 24 \[R1-GigabitEthernet0/0/1\]quit \[R1\]interface GigabitEthernet0/0/0 //连接R2的接口 \[R1-GigabitEthernet0/0/0\]ip address 192.168.12.1 24 \[R1-GigabitEthernet0/0/0\]quit \[R1\]ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目 \[R1\]ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由条目 ⑤配置网络设备 - R2 system-view \[Huawei\]sysname R2 \[R2\]interface GigabitEthernet0/0/1 //连接PC2 \[R2-GigabitEthernet0/0/1\]ip address 192.168.2.254 24 \[R2-GigabitEthernet0/0/1\]quit \[R2\]interface GigabitEthernet0/0/0 //连接R1的接口 \[R2-GigabitEthernet0/0/0\]ip address 192.168.12.2 24 \[R2-GigabitEthernet0/0/0\]quit \[R2\]interface GigabitEthernet0/0/2 //连接服务器的接口 \[R2-GigabitEthernet0/0/2\]ip address 192.168.3.254 24 \[R2-GigabitEthernet0/0/2\]quit \[R2\]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往PC1的路由条目 ⑥配置网络设备 - SW1 undo terminal monitor system-view \[Huawei\]sysname SW1 \[SW1\]vlan 10 \[SW1-vlan10\]quit \[SW1\]interface GigabitEthernet0/0/1 \[SW1-GigabitEthernet0/0/1\]port link-type access \[SW1-GigabitEthernet0/0/1\]port default vlan 10 \[SW1-GigabitEthernet0/0/1\]quit \[SW1\]interface GigabitEthernet0/0/2 \[SW1-GigabitEthernet0/0/2\]port link-type access \[SW1-GigabitEthernet0/0/2\]port default vlan 10 \[SW1-GigabitEthernet0/0/2\]quit ⑦配置网络设备 - SW2 undo terminal monitor system-view \[Huawei\]sysname SW2 \[SW2\]vlan 20 \[SW2-vlan20\]quit \[SW2\]interface GigabitEthernet0/0/1 \[SW2-GigabitEthernet0/0/1\]port link-type access \[SW2-GigabitEthernet0/0/1\]port default vlan 20 \[SW2-GigabitEthernet0/0/1\]quit \[SW2\]interface GigabitEthernet0/0/2 \[SW2-GigabitEthernet0/0/2\]port link-type access \[SW2-GigabitEthernet0/0/2\]port default vlan 20 \[SW2-GigabitEthernet0/0/2\]quit ⑧配置控制策略并调用 \[R2\]acl 2000 \[R2-acl-basic-2000\]rule 10 deny source 192.168.1.0 0.0.0.255 \[R2-acl-basic-2000\]quit \[R2\]interface GigabitEthernet0/0/2 \[R2-GigabitEthernet0/0/2\]traffic-filter outbound acl 2000 \[R2-GigabitEthernet0/0/2\]quit 配置路由条目 - R1 ip route-static 192.168.2.0 24 192.168.12.2 ip route-static 192.168.3.0 24 192.168.12.2 配置路由条目 - R2 ip route-static 192.168.1.0 24 192.168.12.1 创建ACL - R2 acl 2000 rule 10 deny source 192.168.1.0 0.0.0.255 调用ACL - R2 interface GigabitEthernet0/0/2 traffic-filter outbound acl 2000 验证与测试ACL \[R2\]display acl all,查看设备上所有的ACL \[R2\]display traffic-filter applied-record,查看设备上已经被调用的ACL PC1\>ping 192.168.3.1,不通 \[R1\]ping -a 192.168.1.254 192.168.3.1,不通 PC2\>ping 192.168.3.1,通 \[R2\]ping -a 192.168.2.254 192.168.3.1,通 **总结** 基本ACL只能匹配源IP地址,过滤数据的效率非常高 基本ACL有一个默认的隐含的动作是"允许所有" 基本ACL尽量调用在距离"目标设备"近的设备/接口上 ### 高级ACL配置 **项目背景** 为了增强企业内网安全,实施业务隔离以及访问权限控制 三个部门属于不通的IP地址网段 售后部仅仅能访问Server1上的Web服务,不能访问其他服务 售后部可以访问行政部的所有设备的任何服务 除了上述权限外,售后部不能访问网络中的其他任何地方 ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/07bd7747748dca86513de176a6932d38.webp) \*\* 项目分析\*\* 不同部门之间存在特定业务流量控制,所以用高级ACL 高级ACL可以精确区分流量,尽量调用在距离源设备近的地方 **解决方案** 如图配置设备IP地址 配置路由条目,确保不同网段之间互通 测试设备之间的连通性,所有网段均可互通 确定部署ACL的设备 - R1 确定部署ACL的接口 - PC1"网关"接口 配置高级ACL,精准匹配业务流量 在R1连接"PC1"的接口的入方向,调用ACL 验证并测试ACL **配置命令** 配置路由条目 - R1 ip route-static 0.0.0.0 0 192.168.12.2 配置路由条目 - R2 ip route-static 192.168.1.0 24 192.168.12.1 ip route-static 192.168.3.0 24 192.168.23.3 配置路由条目 - R3 ip route-static 0.0.0.0 0 192.168.23.2 创建ACL - R1 acl 3000 rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80 rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255 rule 30 deny ip source 192.168.1.1 0 destination any 调用ACL - R1 interface GigabitEthernet0/0/2 traffic-filter inbound acl 3000 验证与测试ACL \[R1\]display acl all ,查看设备上所有的ACL \[R1\]display traffic-filter applied-record,查看设备上已经被调用的ACL PC1通过http客户端访问Server1,成功 PC1通过ping访问Server1,失败 PC1 ping PC2,成功 PC1访问其他网段,失败 **总结** 高级ACL匹配数据更加精准,适合细分业务流量的管理控制 高级ACL尽量调用再距离"源设备"近的设备/接口上 **配置步骤** ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/4e6c9555fbae4df25b9a1bad2fa96ace.webp) ①配置终端设备 - 售后服务部 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 ②配置终端设备 - 行政部 地址:192.168.2.1 掩码:255.255.255.0 网关:192.168.2.254 ③配置终端设备 - Web服务器 地址:192.168.3.1 掩码:255.255.255.0 网关:192.168.3.254 配置Web服务:指定Web服务器目录,启动Web服务 ④配置网络设备 - R1 system-view \[Huawei\]sysname R1 \[R1\]interface GigabitEthernet0/0/2 //连接售后服务部 \[R1-GigabitEthernet0/0/2\]ip address 192.168.1.254 24 \[R1-GigabitEthernet0/0/2\]quit \[R1\]interface GigabitEthernet0/0/0 //连接R2的接口 \[R1-GigabitEthernet0/0/0\]ip address 192.168.12.1 24 \[R1-GigabitEthernet0/0/0\]quit \[R1\]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 ⑤配置网络设备 - R2 system-view \[Huawei\]sysname R2 \[R2\]interface GigabitEthernet0/0/2 //连接行政部 \[R2-GigabitEthernet0/0/2\]ip address 192.168.2.254 24 \[R2-GigabitEthernet0/0/2\]quit \[R2\]interface GigabitEthernet0/0/1 //连接R1的接口 \[R2-GigabitEthernet0/0/1\]ip address 192.168.12.2 24 \[R2-GigabitEthernet0/0/1\]quit \[R2\]interface GigabitEthernet0/0/0 //连接R3的接口 \[R2-GigabitEthernet0/0/0\]ip address 192.168.23.2 24 \[R2-GigabitEthernet0/0/0\]quit \[R2\]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 \[R2\]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 ⑥配置网络设备 - R3 system-view \[Huawei\]sysname R3 \[R3\]interface GigabitEthernet0/0/2 //连接web服务器 \[R3-GigabitEthernet0/0/2\]ip address 192.168.3.254 24 \[R3-GigabitEthernet0/0/2\]quit \[R3\]interface GigabitEthernet0/0/1 //连接R2的接口 \[R3-GigabitEthernet0/0/1\]ip address 192.168.23.3 24 \[R3-GigabitEthernet0/0/1\]quit \[R3\]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 ⑦在R1上配置并调用ACL \[R1\]acl 3000 \[R1-acl-adv-3000\]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80 \[R1-acl-adv-3000\]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255 \[R1-acl-adv-3000\]rule 30 deny ip source 192.168.1.1 0 destination any \[R1\]interface GigabitEthernet0/0/2 \[R1-GigabitEthernet0/0/2\]traffic-filter inbound acl 3000 ### 高级ACL之ICMP **项目背景** 为了增强企业内外安全,实施业务隔离以及访问权限控制 三个部门属于不用的IP地址网段 售后部仅仅能ping通Server1,不能访问其他服务 售后部可以访问行政部的所有设备的任何服务 除了上述权限外,售后部不能访问网络中的其他任何地方 ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/9e836928e8c185d31666d99ed454222b.webp) **项目分析** 不同部门之间存在特定业务流量控制,所以用高级ACL 高级ACL可以精确区分流量,尽量调用在距离源设备近的地方 **配置思路** 如图配置设备IP地址 配置路由条目,确保不同网段之间互通 测试设备之间的连通性,所有网段均可互通 确定部署ACL的设备 - R1 确定部署ACL的接口 - PC1"网关"接口 配置高级ACL,精准匹配业务流量 在R1连接"PC1"的接口的入方向,调用ACL 验证并测试ACL **配置命令** 配置路由条目 - R1 ip route-static 0.0.0.0 0 192.168.12.2 配置路由条目 - R2 ip route-static 192.168.1.0 24 192.168.12.1 ip route-static 192.168.3.0 24 192.168.23.3 配置路由条目 - R3 ip route-static 0.0.0.0 0 192.168.23.2 创建ACL - R1 acl 3000 rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80 rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255 rule 30 deny ip source 192.168.1.1 0 destination any 调用ACL - R1 interface GigabitEthernet0/0/2 traffic-filter inbound acl 3000 验证与测试ACL \[R1\]display acl all ,查看设备上所有的ACL \[R1\]display traffic-filter applied-record,查看设备上已经被调用的ACL PC1通过http客户端访问Server1,成功 PC1通过ping访问Server1,失败 PC1 ping PC2,成功 PC1访问其他网段,失败 **配置步骤** ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/4e6c9555fbae4df25b9a1bad2fa96ace.webp) ①配置终端设备 - 售后服务部 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 ②配置终端设备 - 行政部 地址:192.168.2.1 掩码:255.255.255.0 网关:192.168.2.254 ③配置终端设备 - Web服务器 地址:192.168.3.1 掩码:255.255.255.0 网关:192.168.3.254 配置Web服务:指定Web服务器目录,启动Web服务 ④配置网络设备 - R1 system-view \[Huawei\]sysname R1 \[R1\]interface GigabitEthernet0/0/2 //连接售后服务部 \[R1-GigabitEthernet0/0/2\]ip address 192.168.1.254 24 \[R1-GigabitEthernet0/0/2\]quit \[R1\]interface GigabitEthernet0/0/0 //连接R2的接口 \[R1-GigabitEthernet0/0/0\]ip address 192.168.12.1 24 \[R1-GigabitEthernet0/0/0\]quit \[R1\]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 ⑤配置网络设备 - R2 system-view \[Huawei\]sysname R2 \[R2\]interface GigabitEthernet0/0/2 //连接行政部 \[R2-GigabitEthernet0/0/2\]ip address 192.168.2.254 24 \[R2-GigabitEthernet0/0/2\]quit \[R2\]interface GigabitEthernet0/0/1 //连接R1的接口 \[R2-GigabitEthernet0/0/1\]ip address 192.168.12.2 24 \[R2-GigabitEthernet0/0/1\]quit \[R2\]interface GigabitEthernet0/0/0 //连接R3的接口 \[R2-GigabitEthernet0/0/0\]ip address 192.168.23.2 24 \[R2-GigabitEthernet0/0/0\]quit \[R2\]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 \[R2\]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 ⑥配置网络设备 - R3 system-view \[Huawei\]sysname R3 \[R3\]interface GigabitEthernet0/0/2 //连接web服务器 \[R3-GigabitEthernet0/0/2\]ip address 192.168.3.254 24 \[R3-GigabitEthernet0/0/2\]quit \[R3\]interface GigabitEthernet0/0/1 //连接R2的接口 \[R3-GigabitEthernet0/0/1\]ip address 192.168.23.3 24 \[R3-GigabitEthernet0/0/1\]quit \[R3\]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 ⑦在R1上配置并调用ACL \[R1\]acl 3000 \[R1-acl-adv-3000\]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 drstination-port eq 80 \[R1-acl-adv-3000\]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255 \[R1-acl-adv-3000\]rule 30 deny ip source 192.168.1.1 0 destination any \[R1\]interface GigabitEthernet0/0/2 \[R1-GigabitEthernet0/0/2\]traffic-filter inbound acl 3000 **项目总结** 高级ACL匹配数据更加精准,适合细跟业务流量的管理控制 高级ACL尽量调用距离"源设备"近的设备/接口上 一个ACL中窜在多个条目时,数据的匹配顺序按照rule号从小到大依次执行 在ACL条目匹配数据的过程中,如果有一个条目匹配成功,后续的条目就不再查看,直接执行"permit"或者"deny" 如果ACL中的所有条目,都没有匹配成功,则执行最后一个隐含的条目 ### 高级ACL之Telnet **项目背景** 为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE 仅仅允许192.168.1.254远程登录R2,其他设备不可以 拒绝R1的任何IP地址远程登录R3,其他设备都可以 ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/1d8f1e4e05e18cd0d223fb89dac1780b.webp) **项目分析** 针对远程登录操作,访问的都是设备的"远程登陆"虚拟接口 对于虚拟接口,使用"基本ACL",可实现"远程登录"过滤 **配置思路** 如图配置设备IP地址 配置路由条目,确保不同网段之间互通 测试设备之间的连通性,所有网段均可互通 确定部署ACL的设备 - R2和R3 确定部署ACL的接口 - R2和R3的"远程访问"虚拟接口 配置基本ACL,仅仅匹配允许的IP地址即可 在R2和R3的"远程登录"虚拟接口的入方向,调用ACL 验证并测试ACL **配置命令** 配置路由条目 - R1 ip route-static 0.0.0.0 0 192.168.12.2 配置路由条目 - R2 ip route-static 192.168.1.0 24 192.168.12.1 ip route-static 192.168.3.0 24 192.168.23.3 配置路由条目 - R3 ip route-static 0.0.0.0 0 192.168.23.2 配置R2的远程访问功能 user-interface vty 0 4 authentication-mode password please configure the login password (maximum length 16):HCIE 配置R3的远程访问功能 user-interface vty 0 4 authentication-mode password please configure the login password (maximum length 16):HCIE 创建ACL - R2 acl 2000 rule 10 permit source 192.168.1.254 0 调用ACL - R2 user-interface vty 0 4 acl 2000 inbound 创建ACL - R3 acl 2000 rule 10 deny source 192.168.1.254 0 rule 20 deny source 192.168.12.1 0 rule 30 deny source any 调用ACL - R3 user-interface vty 0 4 acl 2000 inbound 验证与测试ACL \[R2\]display acl all ,查看设备上所有的ACL \[R3\]display acl all ,查看设备上所有的ACL telnet -a 192.168.1.254 192.168.12.2,登录成功 telnet 192.168.12.2,登录失败 telnet 192.168.23.3,登录失败 telnet -a 192.168.1.254 192.168.23.3,登录失败 telnet 192.168.23.3,登录成功 **配置步骤** ![在这里插入图片描述](https://file.jishuzhan.net/article/1728957954029260801/9dc1bc871bcf03b8e8ffd3c3be43a564.webp) ①配置终端设备 - 售后服务部 地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.254 ②配置终端设备 - 行政部 地址:192.168.2.1 掩码:255.255.255.0 网关:192.168.2.254 ③配置终端设备 - Web服务器 地址:192.168.3.1 掩码:255.255.255.0 网关:192.168.3.254 配置Web服务:指定Web服务器目录,启动Web服务 ④配置网络设备 - R1 system-view \[Huawei\]sysname R1 \[R1\]interface GigabitEthernet0/0/2 //连接售后服务部 \[R1-GigabitEthernet0/0/2\]ip address 192.168.1.254 24 \[R1-GigabitEthernet0/0/2\]quit \[R1\]interface GigabitEthernet0/0/0 //连接R2的接口 \[R1-GigabitEthernet0/0/0\]ip address 192.168.12.1 24 \[R1-GigabitEthernet0/0/0\]quit \[R1\]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 ⑤配置网络设备 - R2 system-view \[Huawei\]sysname R2 \[R2\]interface GigabitEthernet0/0/2 //连接行政部 \[R2-GigabitEthernet0/0/2\]ip address 192.168.2.254 24 \[R2-GigabitEthernet0/0/2\]quit \[R2\]interface GigabitEthernet0/0/1 //连接R1的接口 \[R2-GigabitEthernet0/0/1\]ip address 192.168.12.2 24 \[R2-GigabitEthernet0/0/1\]quit \[R2\]interface GigabitEthernet0/0/0 //连接R3的接口 \[R2-GigabitEthernet0/0/0\]ip address 192.168.23.2 24 \[R2-GigabitEthernet0/0/0\]quit \[R2\]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 \[R2\]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 \[R2\]user-inteface vty 0 4 \[R2-ui-vty0-4\]authentication-mode password Please configure the login password (maximum length 16):HCIE ⑥配置网络设备 - R3 system-view \[Huawei\]sysname R3 \[R3\]interface GigabitEthernet0/0/2 //连接web服务器 \[R3-GigabitEthernet0/0/2\]ip address 192.168.3.254 24 \[R3-GigabitEthernet0/0/2\]quit \[R3\]interface GigabitEthernet0/0/1 //连接R2的接口 \[R3-GigabitEthernet0/0/1\]ip address 192.168.23.3 24 \[R3-GigabitEthernet0/0/1\]quit \[R3\]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 \[R3\]user-interface vty 0 4 \[R3-ui-vty0-4\]authentication-mode password Please configure the login password (maximum length 16):HCIE ⑦在R2上配置并调用ACL \[R2\]acl 2000 \[R2-acl-basic-2000\]rule 10 permit source 192.168.1.254 0 \[R2-acl-basic-2000\]quit \[R2\]user-interface vty 0 4 \[R2-ui-vty0-4\]acl 2000 inbound \[R2-ui-vty0-4\]quit ⑦在R3上配置并调用ACL \[R3\]acl 2000 \[R3-acl-basic-2000\]rule 10 deny source 192.168.1.254 0 \[R3-acl-basic-2000\]rule 20 deny source 192.168.12.1 0 \[R3-acl-basic-2000\]rule 30 deny source any \[R3-acl-basic-2000\]quit \[R3\]user-interface vty 0 4 \[R3-ui-vty0-4\]acl 2000 inbound \[R3-ui-vty0-4\]quit **项目总结** ACL最后一个隐含的动作时"拒绝所有" 但是用traffic-filter 调用时,ACL默认行为是"允许所有" 远程登录一个设备时,设备使用"虚拟接口" - vty接口

相关推荐
love530love39 分钟前
Docker 稳定运行与存储优化全攻略(含可视化指南)
运维·人工智能·windows·docker·容器
岁岁岁平安39 分钟前
CentOS-7-x86_64解决:使用NAT模式无法ping通www.baidu.com或无法ping 8.8.8.8问题。
linux·运维·centos·centos-7
运维小贺1 小时前
各服务器厂商调整BIOS睿频教程
linux·运维·服务器·性能优化
网硕互联的小客服1 小时前
如何排查服务器中已经存在的后门程序?
运维·服务器·github
人生匆匆1 小时前
docker进入启动失败的容器
运维·docker·容器
Fanmeang1 小时前
OSPF路由过滤
运维·网络·华为·ip·路由·ospf·路由过滤
★Orange★2 小时前
Linux Kernel kfifo 实现和巧妙设计
linux·运维·算法
我是阿呆同学2 小时前
仿mudou库one thread oneloop式并发服务器
网络
bemyrunningdog2 小时前
Mock数据
linux·运维·ubuntu
是阿建吖!2 小时前
【Linux | 网络】网络编程套接字
linux·网络