访问控制列表配置实验

沉默中爆发的IT男2024-04-26 7:00

ACL,全称 Access Control List(访问控制列表),是一种实现访问控制的机制,用于规定哪些主体(如用户、设备、IP地址、进程等)可以对哪些资源(如网络服务、文件、系统对象等)执行何种操作。ACL通过定义一系列规则来控制网络流量或访问请求,这些规则基于特定的匹配条件(如源IP、目的IP、协议类型、端口号、时间范围等)来决定允许或拒绝流量。

一、实验拓扑

二、 实验要求

如组网图所示,R3 为服务器,R1为客户端,客户端与服务器之间路由可达。其中 R1和 R2间互联物理接口地址分别为 10.1.2.1/24和 10.1.2.2/24,R2 和 R3 间互联物理接口地址分别为10.1.3.2/24和 10.1.3.1/24。另外,R1 上创建两个逻辑接口LoopBack0和LoopBack1分别模拟两个客户端用户,地址分别为 10.1.1.1/24 和 10.1.4.1/24。其中一个用户(R1的 LoopBack1接口)需要远程管理设备 R3,可以在服务器端配置Telnet,用户通过密码登录,并配置基于 ACL的安全策略,保证只有符合安全策略的用户才能登录设备。

三、实验配置

3.1 配置思路

1.配置设备 I 地址

2.配置 OSPF,使得网络路由可达

3.配置 ACL,匹配特定流量

4.配置流量过滤

3.2 配置步骤

步骤1 配置设备 IP 地址

配置 R1、R2 和 R3的IP 地址

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

Huawei\]undo info-center enable Info: Information center is disabled. \[Huawei\]sysname R1 \[R1\]interface GigabitEthernet 0/0/0 \[R1-GigabitEthernet0/0/0\]ip address 10.1.2.1 24 \[R1-GigabitEthernet0/0/0\]quit \[R1\]interface LoopBack 0 \[R1-LoopBack0\]ip address 10.1.1.1 24 \[R1-LoopBack0\]quit \[R1\]interface LoopBack 1 \[R1-LoopBack1\]ip address 10.1.4.1 24 \[R1-LoopBack1\]quit

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

Huawei\]undo info-center enable Info: Information center is disabled. \[Huawei\]sysname R2 \[R2\]interface GigabitEthernet 0/0/0 \[R2-GigabitEthernet0/0/0\]ip address 10.1.2.2 24 \[R2-GigabitEthernet0/0/0\]quit \[R2\]interface GigabitEthernet 0/0/1 \[R2-GigabitEthernet0/0/1\]ip address 10.1.3.2 24 \[R2-GigabitEthernet0/0/1\]quit \system-view Enter system view, return user view with Ctrl+Z. \[Huawei\]undo info-center enable Info: Information center is disabled. \[Huawei\]sysname R3 \[R3\]interface GigabitEthernet 0/0/1 \[R3-GigabitEthernet0/0/1\]ip address 10.1.3.1 24 \[R3-GigabitEthernet0/0/1\]quit

在 R1、R2 和 R3 上配置 OSPF,三台设备均在区域0中,实现全网互联互通

R1\]ospf \[R1-ospf-1\]area 0 \[R1-ospf-1-area-0.0.0.0\]network 10.1.1.1 0.0.0.0 \[R1-ospf-1-area-0.0.0.0\]network 10.1.2.1 0.0.0.0 \[R1-ospf-1-area-0.0.0.0\]network 10.1.4.1 0.0.0.0 \[R1-ospf-1-area-0.0.0.0\]return

R2\]ospf \[R2-ospf-1\]area 0 \[R2-ospf-1-area-0.0.0.0\]network 10.1.2.2 0.0.0.0 \[R2-ospf-1-area-0.0.0.0\]network 10.1.3.2 0.0.0.0 \[R2-ospf-1-area-0.0.0.0\]return

R3\]ospf \[R3-ospf-1\]area 0 \[R3-ospf-1-area-0.0.0.0\]network 10.1.3.1 0.0.0.0 \[R3-ospf-1-area-0.0.0.0\]return

在 R3 上执行 Ping 命令,检测网络的连通性

步骤3 配置 R3 为 Telnet 服务器

在 R3 使能 Telnet 功能,配置用户权限等级为3级,登录密码为 Xiaodu@123

R3\]telnet server enable Error: TELNET server has been enabled \[R3\]user-interface vty 0 4 \[R3-ui-vty0-4\]user privilege level 3 \[R3-ui-vty0-4\]set authentication password cipher Xiaodu@123 \[R3-ui-vty0-4\]quit

步骤 4 配置 ACL 进行流量过滤

方式一:在R3的VTY接口匹配ACL,允许R1通过LoopBack1口地址Telnet到R3。

#在R3上配置ACL

R3\]acl 3000 \[R3-acl-adv-3000\]rule 5 permit tcp source 10.1.4.1 0.0.0.0 destination 10.1.3.1 0.0.0.0 destination-port eq 23 \[R3-acl-adv-3000\]rule 10 deny tcp source any \[R3-acl-adv-3000\]quit

在 R3 的 VTY 接口上进行流量过滤

R3\]user-interface vty 0 4 \[R3-ui-vty0-4\]acl 3000 inbound

在 R3 上查看 ACL 配置信息

高级访问控制列表,序号为3000,共2条规则。

ACL的步长为5。

规则5,允许特定的流量通过,当没有匹配的报文时,不显示匹配字段。

方式二:在 R2 的物理接口匹配 ACL,只允许 R1 通过物理接口地址 Telnet 到 R3。

在 R2 上配置 ACL

R2\]acl 3001 \[R2-acl-adv-3001\]rule 5 permit tcp source 10.1.4.1 0.0.0.0 destination 10.1.3.1 0.0.0.0 destination-port eq 23 \[R2-acl-adv-3001\]rule 10 deny tcp source any \[R2-acl-adv-3001\]quit

R2\]interface GigabitEthernet 0/0/0 \[R2-GigabitEthernet0/0/0\]traffic-filter inbound acl 3001

在 R2 上查看 ACL 配置信息

结果验证

配置参考

R1

sysname R1

interface GigabitEthernet0/0/0

ip address 10.1.2.1 255.255.255.0

interface LoopBack0

ip address 10.1.1.1 255.255.255.0

interface LoopBack1

ip address 10.1.4.1 255.255.255.0

ospf 1

area 0.0.0.0

network 10.1.1.1 0.0.0.0

network 10.1.2.1 0.0.0.0

network 10.1.4.1 0.0.0.0

user-interface con 0

authentication-mode password

user-interface vty 0 4

user-interface vty 16 20

return

R2

sysname R2

undo info-center enable

acl number 3001

rule 5 permit tcp source 10.1.4.1 0 destination 10.1.3.1 0 destination-port eq

telnet

rule 10 deny tcp

interface GigabitEthernet0/0/0

ip address 10.1.2.2 255.255.255.0

traffic-filter inbound acl 3001

interface GigabitEthernet0/0/1

ip address 10.1.3.2 255.255.255.0

ospf 1

area 0.0.0.0

network 10.1.2.2 0.0.0.0

network 10.1.3.2 0.0.0.0

user-interface con 0

authentication-mode password

user-interface vty 0 4

user-interface vty 16 20

return

R3

sysname R3

acl number 3000

rule 5 permit tcp source 10.1.4.1 0 destination 10.1.3.1 0 destination-port eq

telnet

rule 10 deny tcp

interface GigabitEthernet0/0/1

ip address 10.1.3.1 255.255.255.0

ospf 1

area 0.0.0.0

network 10.1.3.1 0.0.0.0

user-interface con 0

authentication-mode password

user-interface vty 0 4

acl 3000 inbound

authentication-mode password

user privilege level 3

set authentication password cipher %%opa@ApO>`YcE^d9]Z+5/,&[cGI\(*moZ[L_2spY$

u9U@&[f,%%

user-interface vty 16 20

return

相关推荐
木易双人青11 分钟前
01-Docker-简介、安装与使用
运维·docker·容器
海绵不是宝宝8171 小时前
连接远程服务器上的 jupyter notebook,解放本地电脑
服务器·jupyter·github
专注API从业者1 小时前
Python + 淘宝 API 开发:自动化采集商品数据的完整流程
大数据·运维·前端·数据挖掘·自动化
三坛海会大神5551 小时前
计算机网络参考模型与子网划分
网络·计算机网络
云卓SKYDROID2 小时前
无人机激光测距技术应用与挑战
网络·无人机·吊舱·高科技·云卓科技
Lovyk2 小时前
Linux 正则表达式
linux·运维
ac.char4 小时前
在CentOS系统中查询已删除但仍占用磁盘空间的文件
linux·运维·centos
繁星¹⁸⁹⁵5 小时前
通过update-alternatives可以实现cuda的多版本切换
服务器
中科米堆5 小时前
中科米堆CASAIM自动化三维测量设备测量汽车壳体直径尺寸
运维·自动化·汽车·视觉检测
缘华工业智维6 小时前
CNN 在故障诊断中的应用:原理、案例与优势
大数据·运维·cnn
热门推荐
01UV安装并设置国内源02DeepSeek更新!速览DeepSeek V3.1新特性03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04KGG转MP3工具|非KGM文件|解密音频05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)072025最新国内服务器可用docker源仓库地址大全(2025年8月更新)08阿里开源首个图像生成基础模型——Qwen-Image本地部署教程,超强中文渲染能力刷新SOTA!09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践