华为---配置基本的访问控制列表(ACL)

11、访问控制列表(ACL)

11.1 配置基本的访问控制列表

11.1.1 原理概述

访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。

按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999。一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID。Rule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配。

11.1.2 实验内容

本实验模拟企业网络环境,R1为分支机构A管理员所在IT部门的网关,R2为分支机构A用户部门的网关,R3为分支机构A去往总部出口的网关设备,R4为总部核心路由器设备。整网运行OSPF协议,并在区域0内。企业设计通过远程方式管理核心网路由器R4,要求只能由R1所连的PC访问R4,其他设备均不能访问。

11.1.3 实验拓扑

11.1.4 实验编址

设备 接口 IP地址 子网掩码 默认网关
AR1(AR2220) GE 0/0/0 172.16.1.1 255.255.255.252 N/A
AR1(AR2220) GE 0/0/2 192.168.10.254 255.255.255.0 N/A
AR2(AR2220) GE 0/0/1 172.16.2.1 255.255.255.252 N/A
AR2(AR2220) GE 0/0/2 192.168.20.254 255.255.255.0 N/A
AR3(AR2220) GE 0/0/0 172.16.1.2 255.255.255.252 N/A
AR3(AR2220) GE 0/0/1 172.16.2.2 255.255.255.252 N/A
AR3(AR2220) GE 0/0/2 172.16.3.2 255.255.255.252 N/A
AR4(AR2220) GE 0/0/2 172.16.3.1 255.255.255.252 N/A
PC1 Ethernet 0/0/1 192.168.10.1 255.255.255.0 192.168.10.254
PC2 Ethernet 0/0/1 192.168.20.1 255.255.255.0 192.168.20.254

11.1.5 实验步骤

1、基本配置

根据实验编址表进行基本的IP地址配置和OSPF配置。

erlang 复制代码
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 172.16.1.1 30
[AR1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/2
[AR1-GigabitEthernet0/0/2]ip address 192.168.10.254 24
[AR1-GigabitEthernet0/0/2]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.3

[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 172.16.2.1 30
[AR2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[AR2-GigabitEthernet0/0/2]ip address 192.168.20.254 24
[AR2-GigabitEthernet0/0/2]ospf 1
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255

[AR3]interface GigabitEthernet 0/0/0
[AR3-GigabitEthernet0/0/0]ip address 172.16.1.2 30
[AR3-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[AR3-GigabitEthernet0/0/1]ip address 172.16.2.2 30
[AR3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[AR3-GigabitEthernet0/0/2]ip address 172.16.3.2 30
[AR3-GigabitEthernet0/0/2]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.3
[AR3-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.3
[AR3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.3

[AR4]interface GigabitEthernet 0/0/2
[AR4-GigabitEthernet0/0/2]ip address 172.16.3.1 30
[AR4-GigabitEthernet0/0/2]ospf 1
[AR4-ospf-1]area 0
[AR4-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.3

[PC1]interface GigabitEthernet 0/0/2
[PC1-GigabitEthernet0/0/2]ip address 192.168.10.1 24
[PC1-GigabitEthernet0/0/2]ospf 1
[PC1-ospf-1]area 0
[PC1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255

[PC2]interface GigabitEthernet00/0/2
[PC2-GigabitEthernet0/0/2]ip address 192.168.20.1 24
[PC2-GigabitEthernet0/0/2]ospf 1
[PC2-ospf-1]area 0
[PC2-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255

配置完成后测试PC1和AR4的连通性。

pgp 复制代码
[PC1]ping 172.16.3.1
  PING 172.16.3.1: 56  data bytes, press CTRL_C to break
    Reply from 172.16.3.1: bytes=56 Sequence=1 ttl=253 time=30 ms
    Reply from 172.16.3.1: bytes=56 Sequence=2 ttl=253 time=20 ms
    Reply from 172.16.3.1: bytes=56 Sequence=3 ttl=253 time=30 ms
    Reply from 172.16.3.1: bytes=56 Sequence=4 ttl=253 time=20 ms
    Reply from 172.16.3.1: bytes=56 Sequence=5 ttl=253 time=60 ms
  --- 172.16.3.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 20/32/60 ms
2、配置基本ACL访问控制

在总部核心路由器R4上面配置Telnet相关配置,配置用户密码为:huawei

erlang 复制代码
[AR4]user-interface vty 0 4	
[AR4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei

配置完成后,尝试在PC1和PC2上建立Telnet连接。

pgp 复制代码
<PC1>telnet 172.16.3.1
Trying 172.16.3.1 ...
Press CTRL+K to abort
Connected to 172.16.3.1 ...
Login authentication
Password:
<AR4>

可以观察到,只要路由可达的设备,并且拥有Telnet密码,都可以成功访问核心路由器R4,这是不安全的。

在R4上面使用acl命令创建一个编号型ACL,基本ACL的范围是2000-2999.接下来在ACL视图中,使用rule命令配置ACL规则,指定规则ID为5,允许数据包源地址为192.168.10.1的报文通过,反掩码为0.0.0.255,即精确匹配。第二条规则ID为10,拒绝任意原地址的数据包通过。ACL配置完成后,在vty中使用inbound调用。

erlang 复制代码
[AR4]acl 2000
[AR4-acl-basic-2000]rule 5 permit source 192.168.10.1 0.0.0.255
[AR4-acl-basic-2000]rule 10 deny source any
[AR4-acl-basic-2000]quit
[AR4]user-interface vty 0 4
[AR4-ui-vty0-4]acl 2000 inbound

此时测试可以观察到,现在只有PC1可以访问,其他设备都不能访问。

pgp 复制代码
<PC1>telnet 172.16.3.1
Trying 172.16.3.1 ...
Press CTRL+K to abort
Connected to 172.16.3.1 ...
Login authentication
Password:
<AR4>

<PC2>telnet 172.16.3.1
Trying 172.16.3.1 ...
Press CTRL+K to abort
Error: Failed to connect to the remote host.

要想增加其他设备如AR3可以访问AR4的话,只能使用ACL规则ID在10的前面的ID编号才能正常访问,因为编号10是拒绝所有访问。

相关推荐
Koi慢热几秒前
路由基础(全)
linux·网络·网络协议·安全
ZZZCY200335 分钟前
华为VER系统及CLI命令熟悉
华为
hzyyyyyyyu2 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
刽子手发艺2 小时前
WebSocket详解、WebSocket入门案例
网络·websocket·网络协议
速盾cdn6 小时前
速盾:CDN是否支持屏蔽IP?
网络·网络协议·tcp/ip
yaoxin5211236 小时前
第二十七章 TCP 客户端 服务器通信 - 连接管理
服务器·网络·tcp/ip
内核程序员kevin6 小时前
TCP Listen 队列详解与优化指南
linux·网络·tcp/ip
PersistJiao8 小时前
Spark 分布式计算中网络传输和序列化的关系(一)
大数据·网络·spark
黑客Ash10 小时前
【D01】网络安全概论
网络·安全·web安全·php