华为HCNA之配置高级ACL实验

导语:

访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。
高级ACL:
表示方式:ID,取值控制为:3000~3999
可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口;
匹配数据更加的精确

拓扑图:

华为HCNA之配置高级ACL实验_第1张图片

步骤:

1.基本配置:

如拓扑图和配置图所示,完成各个物理设备和接口的配置,并测试连通性:
华为HCNA之配置高级ACL实验_第2张图片

2.搭建OSPF网络:

仅以R1为例,其他同理:

[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

配置完成后,查看R1的ospf路由条目:
华为HCNA之配置高级ACL实验_第3张图片
可以看到,R1已经学习到了所有路由信息。

3.配置Telnet:

[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei

用1.1.1.1尝试登陆R4的两个环回接口:
华为HCNA之配置高级ACL实验_第4张图片
华为HCNA之配置高级ACL实验_第5张图片
均登陆成功过,可以得知,只要拥有Telnet的密码均可以成功登陆到R4上。

4.配置高级ACL访问控制:

我们的目标是R1的环回接口只能通过R4的4.4.4.4接口访问Telnet,不能通过40.40.40.40访问。基本ACL只能控制源地址因此不能完成此任务,高级ACL不仅能控制源地址,还能控制目的地址,可以完成此任务:

[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0

查看ACL配置信息:
华为HCNA之配置高级ACL实验_第6张图片
接着,使用vty进行acl的调用:

[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound 

配置完成后,再使用1.1.1.1访问40.40.40.40:
华为HCNA之配置高级ACL实验_第7张图片
可以看到,配置已生效,1.1.1.1不能通过40.40.40.40访问Telnet。

至此,高级ACL实验已经配置完成!

思考题:

问题:路由器能否通过ACL过滤自己产生的数据包?
解答:不能,因为ACL只能过滤路由条目或数据包,而OSPF在区域内是传递的链路状态信息,链路状态信息无法过滤。

你可能感兴趣的:(HCNA学习)