配置基本的访问控制列表ACL【eNSP实现】

访问控制列表ACL(Access Control List)是由permitdeny语句组成的一系列有顺序的规则集合,这些规则根据数据报的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝

基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999

一个ACL可以由多条"deny/permit"语句组成,每一条语句描述一条规则,每条规则则有一个Rule-IDRule-ID可以由用户进行配置,也可以由系统自动根据步长生成,默认步长为5Rule-ID默认按照配置先后顺序分配0,5,10,15等,匹配按照Rule-ID的顺序,从小到大进行匹配

实验目的

  • 理解基本访问控制列表的应用场景
  • 掌握配置基本访问控制列表的方法

实验拓扑

配置基本的访问控制列表ACL【eNSP实现】_第1张图片

实验步骤

  1. 根据图示进行基础配置,路由器编号即为其主机号

    R1:
    <Huawei>sys
    [Huawei]undo info-center en
    [Huawei]sysname R1
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip address 10.0.13.1 24
    [R1-GigabitEthernet0/0/0]int LoopBack 0
    [R1-LoopBack0]ip address 1.1.1.1 32
        
    R2:
    <Huawei>sys	
    [Huawei]undo info-center en
    [Huawei]sysname R2
    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]ip address 10.0.23.2 24
    [R2-GigabitEthernet0/0/0]int LoopBack 0
    [R2-LoopBack0]ip address 2.2.2.2 32
        
    R3:
    <Huawei>sys
    [Huawei]undo info-center en
    [Huawei]sysname R3
    [R3]int g0/0/0
    [R3-GigabitEthernet0/0/0]ip address 10.0.13.3 24
    [R3-GigabitEthernet0/0/0]int g0/0/1
    [R3-GigabitEthernet0/0/1]ip address 10.0.23.3 24
    [R3-GigabitEthernet0/0/1]int g0/0/2
    [R3-GigabitEthernet0/0/2]ip address 10.0.34.3 24
    [R3-GigabitEthernet0/0/2]int LoopBack 0
    [R3-LoopBack0]ip address 3.3.3.3 32    
        
    R4:
    <Huawei>sys
    [Huawei]undo info-center en
    [Huawei]sysname R4
    [R4]int g0/0/0
    [R4-GigabitEthernet0/0/0]ip address 10.0.34.4 24
    [R4-GigabitEthernet0/0/0]int LoopBack 0
    [R4-LoopBack0]ip address 4.4.4.4 32    
    
    
  2. 开启OSPF,通告各网段,设置环回接口模拟连接在路由器上的PC

    R1:
    [R1]ospf
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
        
    R2:
    [R2]ospf
    [R2-ospf-1]area 0
    [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
        
    R3:
    [R3]ospf
    [R3-ospf-1]area 0
    [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
        
    R4:
    [R4]ospf
    [R4-ospf-1]area 0
    [R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255
    [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
    

    查看路由表,确保OSPF协议已发挥作用

  3. R4上配置telnet相关配置,配置用户密码为huawei

    R4:
    [R4]user-interface vty 0 4	//进入虚拟终端,最多允许5人进入[0~4号]
    [R4-ui-vty0-4]authentication-mode password	//设置口令为密码模式
    [R4-ui-vty0-4]set authentication password simple huawei	//密码设置为明文huawei
    

    此时任何与R4互通的三层设备都可以通过输入密码的形式操控R4,这样显然是不安全的

  4. 基本的ACL可以针对数据包的源IP地址进行过滤,其范围是2000~2999,我们利用其设立规则,禁止除R1外的设备进行远程连接

    R4:
    [R4]acl 2000	//创建一个编号型ACL
    [R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0	//ID5规则:接收1.1.1.1的信息	
    [R4-acl-basic-2000]rule 10 deny source any //ID10规则:拒绝所有信息
    //由于匹配规则是从低匹到高,因此两条规则一起作用后就是拒绝处1.1.1.1外的信息    
    [R4]user-interface vty 0 4	//进入R4的VTY
    [R4-ui-vty0-4]acl 2000 inbound  //将编号2000的ACL运用在数据入方向  
    

    此时R2想要远程连接R4会失败

    R1依旧可以连接R4,到此便完成了一个简单ACL配置,可使用命令display acl all查看设备上所有的访问控制列表

本实验取自华为公司《HCNA网络技术实验指南》,此书对于新手学习计算机网络协议以及熟悉eNSP操作十分友好,强烈推荐!!!

你可能感兴趣的:(HCNA网络技术实验指南,计算机网络,eNSP)