ACL实验

1.1实验拓扑

1.2实验需求

|-------------------------|
| 1、使用基本ACL与高级ACL完成后续题目需求 |

1.3实验配置

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| #### 一: I p地址规划 此处路由器编号之间为通信网段PC除外,PC1网段为192.168.1.0,PC2/PC3网段为192.168.2.0网关均为.1,例如R1与R2之间为12.1.1.0/24,ip地址最后一位为路由器编号,R1为12.1.1.1,R2为12.1.1.2,此处配置略参,考ospf实验配置即可。 #### 二: 基本ACL实现精确源地址访问控制 使用基本ACL只允许PC1与PC3访问PC2。 确认ACL调用的位置:基本ACL只能筛选源IP地址,故放置在靠近目的区域的设备上,因此配置在R3的0/0接口。 写法一: R3acl number 2000 //创建基本ACL编号为2000 R3-acl-ipv4-basic-2000rule permit source 192.168.1.10 0.0.0.0 //设置只允许源地址为192.168.1.10(PC1)这个ip地址可以将流量放通。 R3-acl-ipv4-basic-2000rule deny source any //拒绝其他所有的源ip通信。系统默认的过滤方式是permit,即允许未匹配上ACL规则的报文通过。若使用H3C packet-filter default deny命令,则会将默认行为改为拒绝所有未匹配的报文。 R3-acl-ipv4-basic-2000display this # acl number 2000 rule 0 permit source 192.168.1.10 0 rule 5 deny # return R3-acl-ipv4-basic-2000quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 2000 outbound //将ACL调用在R3-0/0接口的出方向, R3-GigabitEthernet0/0quit 写法二: R3packet-filter default deny //配置该命令后,所有ACL的默认行为将从"允许未匹配规则的报文通过"改为"拒绝未匹配规则的报文通过"。 R3acl number 2000 R3-acl-ipv4-basic-2000rule permit source 192.168.1.10 0.0.0.0 R3-acl-ipv4-basic-2000quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 2000 outbound ACL中插入某一条规则以及删除: R3acl number 2000 R3-acl-ipv4-basic-2000display this R3-acl-ipv4-basic-2000rule 3 permit source 192.168.1.11 0.0.0.0 //ACL中条目的编号默认按步长5递增,该命令为在编号0和5之间插入一条编号为3的规则,允许源地址为1.11ip地址通信。 R3-acl-ipv4-basic-2000undo rule 3 //强制删除编号3,3整个条目也会随之删除。 测试效果: #### 三: 基本AC L 实现特定源地址访问限制 使用基本ACL拒绝PC1访问PC2其余设备均可访问 将之前创建的ACL删除 R3undo acl number 2000 //删除本设备基本ACL编号2000 R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0undo packet-filter 2000 outbound //取消ACL2000的调用 R3undo packet-filter default deny //取消ACL默认拒绝所有 创建新ACL2001 写法一: R3acl number 2001 R3-acl-ipv4-basic-2001rule deny source 192.168.1.10 0.0.0.0 //由于之前我们将ACL默认拒绝所有功能关闭,现在为ACL默认放通所有,只需要一条拒绝PC1的条目即可。 R3-acl-ipv4-basic-2001quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 2001 outbound 写法二: R3packet-filter default deny R3acl number 2001 R3-acl-ipv4-basic-2001rule permit source any //在ACL2001中增加允许所有通信的规则 测试效果: #### 四: 高级ACL 控制 协议和端口 使用高级ACL拒绝PC1访问PC2的telnet服务其余设备不受影响 写法一: R3undo packet-filter default deny R3acl number 3000 //创建高级ACL3000 R3-acl-ipv4-adv-3000rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.10 0.0.0.0 destination-port eq 23 //该命令为拒绝192.168.1.10到192.168.2.10的tcp且指定端口为23/telnet的流量,其中destination-port为目的端口,eq为等于,结合起来就是目的地址为192.168.2.10的23端口。 R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0undo packet-filter 2001 outbound R3-GigabitEthernet0/0packet-filter 3000 outbound 写法二: R3packet-filter default deny R3acl number 3000 //创建高级ACL3000 R3-acl-ipv4-adv-3000rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.10 0.0.0.0 destination-port eq 23 R3-acl-ipv4-adv-3000rule permit ip source any destination any //该命令为允许放通剩余所有流量与R3-acl-ipv4-adv-3000rule permit ip //效果一致。 效果测试: #### 五: 二层ACL基于MAC地址的访问控制 使用二层ACL禁止PC3上网。 注:二层ACL使用4000-4999的编号范围。 写法一: R3packet-filter default deny R3acl number 4000 R3-acl-mac-4000rule permit source-mac 6c9e-6425-0505 ffff-ffff-ffff dest-mac 0000-0000-0000 0000-0000-0000 //源MAC掩码ffff-ffff-ffff表示精确匹配6c9e-6425-0505这个特定地址。目的MAC掩码0000-0000-0000表示不检查目的地址,允许任意目的MAC。 写法二: 首先清除掉刚刚写的ACL此处不再展示 R3undo acl number 4000 R3-acl-mac-4001rule permit source-mac 6c9e-6425-0505 ffff-ffff-ffff dest-mac 0000-0000-0000 0000-0000-0000 R3-acl-mac-4001rule deny source-mac 0000-0000-0000 0000-0000-0000 dest-mac 0000-0000-0000 0000-0000-0000 //拒绝剩余所有流量。R3-acl-mac-4001rule deny与该命令效果一致。 R3-acl-mac-4001quit R3interface GigabitEthernet 0/0 R3-GigabitEthernet0/0packet-filter 4001 inbound 测试效果: #### 六: ACL部署位置影响分析与排错 如果在第二步中:允许PC1访问PC2的实验里,使用packet-filter default deny写法二,将ACL调用在R3的入接口0/1会怎么样。 R3packet-filter default deny R3-acl-ipv4-basic-2000rule permit source 192.168.1.10 0.0.0.0 R3interface GigabitEthernet 0/1 R3-GigabitEthernet0/1packet-filter 2000 inbound 刚刚配置上是可以通信的,大约等待40秒左右,则无法通信,排查原因是R3的ospf的邻居断开。 因为在ACL中只允许了192.168.1.10这个ip地址的信息通信,但ospf邻居之间报文交互被ACL阻拦所以邻居会断。因此推荐ACL配置在G0/0接口上,影响范围小。 |

相关推荐
网络研究院16 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智16 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_16 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_9618451516 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
程序猿阿伟16 天前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
InHand云飞小白16 天前
无人值守站点网络困境?工业级路由器IR315破解连接难题
网络·物联网·4g·工业路由器·4g路由器·iiot·蜂窝路由器
森G16 天前
75、服务器源码解析---------云视频服务项目
linux·服务器·网络·c++·qt
江华森16 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器
酉鬼女又兒16 天前
零基础入门计算机网络运输层:端到端通信核心作用、端口号分类规则、复用分用工作机制及UDP与TCP协议全方位对比详解
网络·网络协议·tcp/ip·计算机网络·考研·udp·php