ACL实验
基本配置:略
首先根据题目策略的需求1,从这个角度看,我们需要做一条高级ACL,因为我们不仅要看你是谁,还要看你去干什么事情,用高级ACL来做的话,对于我们华为设备,只写拒绝,因为华为默认允许所有
所以telnet R1 我们不用管,只写一条拒绝,不让PC1 ping R1 就行了
因为两条都有telnet的服务需求,所以我先把R1R2的telnet服务开启
先到aaa里面创建一个用户
[r1]aaa
[r1-aaa]
创建一个hzf 用户,他的优先级是15,密码123456
[r1-aaa]local-user hzf privilege level 15 password cipher 123456
这个用户是做什么用的呢?主要是做telnet用的
[r1-aaa]local-user hzf service-type telnet
把我们的虚拟端口开启, 0 4是开启五个端口,同时可以登录五个人,这边只开个0端口
[r1]user-interface vty 0
告诉端口它的认证类型 :aaa
[r1-ui-vty0]authentication-mode aaa
[r1-ui-vty0]q
此时我们便开启了telnet
同样方法开启r2的telnet服务
在R1上先创建一个高级acl 3000
[r1]acl 3000
[r1-acl-adv-3000]
注意写的时候只需要写拒绝就可以了,拒绝ping R1
ping匹配icmp协议,源地址匹配192.168.1.10 写死,目标地址192.168.1.1 写死,
r1有两个端口因此都加入规则
[r1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0
[r1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0
PC1不能telnet R2,因此写入规则
不能telnet是tcp协议,源地址192.168.1.10 写死,目标地址192.168.2.2 写死,目标端口23(telnet端口 23),icmp为啥不加,相当于所有icmp的包我们都拒绝,一般情况下,只有ping用icmp的包,还有tracert。要是不写目标端口会导致所有tcp协议的包都被拦截,所以我们要声明目标端口
[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
规则写好了,我们就要调用,在r1的0/0/0接口
方向是流入方向inbound
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
ping和telnet测试:略
同理PC2的acl规则可以直接写入3000里,
[r1]acl 3000
[r1-acl-adv-3000]
拒绝PC2 telnet r1,也是两个端口都拒
[r1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.1
.1 0.0.0.0 destination-port eq 23
[r1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.2
.1 0.0.0.0 destination-port eq 23
可以ping R1,华为设备默认允许全部
不可以ping R2,但是可以telnet R2
[r1-acl-adv-3000]rule deny icmp source 192.168.1.11 0.0.0.0 destination 192.168.
2.2 0.0.0.0
测试:略
