ACL实验

尚文网络2026-06-12 10:44

1.1实验拓扑

1.2实验需求

|-------------------------|
| 1、使用基本ACL与高级ACL完成后续题目需求 |

1.3实验配置

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| #### 一: I p地址规划 此处路由器编号之间为通信网段PC除外,PC1网段为192.168.1.0,PC2/PC3网段为192.168.2.0网关均为.1,例如R1与R2之间为12.1.1.0/24,ip地址最后一位为路由器编号,R1为12.1.1.1,R2为12.1.1.2,此处配置略参,考ospf实验配置即可。 #### 二: 基本ACL实现精确源地址访问控制 使用基本ACL只允许PC1与PC3访问PC2。 确认ACL调用的位置:基本ACL只能筛选源IP地址,故放置在靠近目的区域的设备上,因此配置在R3的0/0接口。 写法一: R3acl number 2000 //创建基本ACL编号为2000 R3-acl-ipv4-basic-2000rule permit source 192.168.1.10 0.0.0.0 //设置只允许源地址为192.168.1.10(PC1)这个ip地址可以将流量放通。 R3-acl-ipv4-basic-2000rule deny source any //拒绝其他所有的源ip通信。系统默认的过滤方式是permit,即允许未匹配上ACL规则的报文通过。若使用H3C packet-filter default deny命令,则会将默认行为改为拒绝所有未匹配的报文。 R3-acl-ipv4-basic-2000display this # acl number 2000 rule 0 permit source 192.168.1.10 0 rule 5 deny # return R3-acl-ipv4-basic-2000quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 2000 outbound //将ACL调用在R3-0/0接口的出方向, R3-GigabitEthernet0/0quit 写法二: R3packet-filter default deny //配置该命令后,所有ACL的默认行为将从"允许未匹配规则的报文通过"改为"拒绝未匹配规则的报文通过"。 R3acl number 2000 R3-acl-ipv4-basic-2000rule permit source 192.168.1.10 0.0.0.0 R3-acl-ipv4-basic-2000quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 2000 outbound ACL中插入某一条规则以及删除: R3acl number 2000 R3-acl-ipv4-basic-2000display this R3-acl-ipv4-basic-2000rule 3 permit source 192.168.1.11 0.0.0.0 //ACL中条目的编号默认按步长5递增,该命令为在编号0和5之间插入一条编号为3的规则,允许源地址为1.11ip地址通信。 R3-acl-ipv4-basic-2000undo rule 3 //强制删除编号3,3整个条目也会随之删除。 测试效果: #### 三: 基本AC L 实现特定源地址访问限制 使用基本ACL拒绝PC1访问PC2其余设备均可访问 将之前创建的ACL删除 R3undo acl number 2000 //删除本设备基本ACL编号2000 R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0undo packet-filter 2000 outbound //取消ACL2000的调用 R3undo packet-filter default deny //取消ACL默认拒绝所有 创建新ACL2001 写法一: R3acl number 2001 R3-acl-ipv4-basic-2001rule deny source 192.168.1.10 0.0.0.0 //由于之前我们将ACL默认拒绝所有功能关闭,现在为ACL默认放通所有,只需要一条拒绝PC1的条目即可。 R3-acl-ipv4-basic-2001quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 2001 outbound 写法二: R3packet-filter default deny R3acl number 2001 R3-acl-ipv4-basic-2001rule permit source any //在ACL2001中增加允许所有通信的规则 测试效果: #### 四: 高级ACL 控制 协议和端口 使用高级ACL拒绝PC1访问PC2的telnet服务其余设备不受影响 写法一: R3undo packet-filter default deny R3acl number 3000 //创建高级ACL3000 R3-acl-ipv4-adv-3000rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.10 0.0.0.0 destination-port eq 23 //该命令为拒绝192.168.1.10到192.168.2.10的tcp且指定端口为23/telnet的流量,其中destination-port为目的端口,eq为等于,结合起来就是目的地址为192.168.2.10的23端口。 R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0undo packet-filter 2001 outbound R3-GigabitEthernet0/0packet-filter 3000 outbound 写法二: R3packet-filter default deny R3acl number 3000 //创建高级ACL3000 R3-acl-ipv4-adv-3000rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.10 0.0.0.0 destination-port eq 23 R3-acl-ipv4-adv-3000rule permit ip source any destination any //该命令为允许放通剩余所有流量与R3-acl-ipv4-adv-3000rule permit ip //效果一致。 效果测试: #### 五: 二层ACL基于MAC地址的访问控制 使用二层ACL禁止PC3上网。 注:二层ACL使用4000-4999的编号范围。 写法一: R3packet-filter default deny R3acl number 4000 R3-acl-mac-4000rule permit source-mac 6c9e-6425-0505 ffff-ffff-ffff dest-mac 0000-0000-0000 0000-0000-0000 //源MAC掩码ffff-ffff-ffff表示精确匹配6c9e-6425-0505这个特定地址。目的MAC掩码0000-0000-0000表示不检查目的地址,允许任意目的MAC。 写法二: 首先清除掉刚刚写的ACL此处不再展示 R3undo acl number 4000 R3-acl-mac-4001rule permit source-mac 6c9e-6425-0505 ffff-ffff-ffff dest-mac 0000-0000-0000 0000-0000-0000 R3-acl-mac-4001rule deny source-mac 0000-0000-0000 0000-0000-0000 dest-mac 0000-0000-0000 0000-0000-0000 //拒绝剩余所有流量。R3-acl-mac-4001rule deny与该命令效果一致。 R3-acl-mac-4001quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 4001 inbound 测试效果: #### 六: ACL部署位置影响分析与排错 如果在第二步中:允许PC1访问PC2的实验里,使用packet-filter default deny写法二,将ACL调用在R3的入接口0/1会怎么样。 R3packet-filter default deny R3-acl-ipv4-basic-2000rule permit source 192.168.1.10 0.0.0.0 R3interface GigabitEthernet 0/1 R3-GigabitEthernet0/1packet-filter 2000 inbound 刚刚配置上是可以通信的,大约等待40秒左右,则无法通信,排查原因是R3的ospf的邻居断开。 因为在ACL中只允许了192.168.1.10这个ip地址的信息通信,但ospf邻居之间报文交互被ACL阻拦所以邻居会断。因此推荐ACL配置在G0/0接口上,影响范围小。 |

相关推荐
广州灵眸科技有限公司1 小时前
“一机一码”安全加密方案
网络·单片机·嵌入式硬件·安全
努力成为AK大王1 小时前
TCP协议核心特点与首部详解
网络·网络协议·tcp/ip
byte轻骑兵1 小时前
蓝牙CAS通用音频服务:解锁多设备音频协同的底层标准
网络·音视频·cas·le audio·低功耗音频
不昀1 小时前
VOOHU沃虎:使用音频变压器时常见的接地和屏蔽注意事项有哪些?
网络·音视频·以太网·网络通信·电子元器件
湖南天硕国产SSD2 小时前
工业存储可靠性进阶:天硕工业固态硬盘动态温控与寿命优化技术实践
网络·数据库·算法·工业存储·天硕存储·工业固态硬盘
胡萝卜3.02 小时前
远程控制卡顿怎么办:连接失败排查、低延迟软件推荐与网络优化指南
网络
梁辰兴2 小时前
计算机网络基础:P2P 文件分发的分析
网络·计算机网络·计算机·p2p·计算机网络基础·梁辰兴·文件分发分析
2601_961963382 小时前
从OCR到NLP:AI技术如何赋能电子合同智能审核与风险预警?
网络·人工智能·安全·金融·智能合约
CJH(本人账号)2 小时前
大模型的“越狱“之路:从DAN到多模态注入,AI安全边界正在崩塌
网络·人工智能·安全
热门推荐
01《置身钉内》原文-可播放阅读02Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析03【AI】2026 年具身智能模型和世界模型总结04AI科技热点日报 | 2026年6月1日052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06GitHub 镜像站点072026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?082026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf09Codex 下载安装指南:Windows 和 macOS 官方版下载10【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法