网工实验笔记:匹配工具ACL的使用

一、概述

访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址、目的地址、源端口和目的端口等,根据预告定义好的规则对包进行过滤从而达到访问控制的目的。ACL分很多种,不同场合应用不同种类的ACL。

1)基本ACL

基本ACL最简单,是通过使用IP包中的源IP地址进行过滤,表号范围2000-2999。

2)高级ACL

高级ACL比基本ACL具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、源地址、目的地址、源端口、目的端口和TCP连接建立等进行过滤,表号范围3000-3999。

3)基于时间ACL

ACL的生效时间段可以规定ACL规则在何时生效,比如某个特定时间段或者每周的某个固定时间段。

4)自反ACL

通过自反ACL可以实现网络节点的单向访问。

想要华为数通配套实验拓扑和配置笔记的朋友们点赞+关注,评论区留下邮箱发给你!

在访问控制列表的学习中,要特别注意以下两个术语。

① 通配符掩码:一个32比特位的数字字符串,它规定了当一个IP地址与其他的IP地址进行比较时,该IP地址中哪些位应该被忽略。通配符掩码中的”1”表示忽略IP地址中对应的位,而”0”则表示该位必须匹配。两种特殊的通配符掩码是”255.255.255.255”和”0.0.0.0”,前者等价于关键字”any”,而后者等价于关键字”host”。

② Inbound和Outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表是应用于流入数据,还是流出数据。

二、实验配置

1.实验需求

  • 掌握ACL的配置方法
  • 掌握ACL在接口下的应用方法
  • 掌握流量过滤的基本方式

2、实验拓扑

实验拓扑如图所示

网工实验笔记:匹配工具ACL的使用_第1张图片

      3.、实验步骤

(1)PC机的IP地址配置

PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。PC2、sever同理PC1的配置如图所示:

网工实验笔记:匹配工具ACL的使用_第2张图片

PC2的配置如图所示:

网工实验笔记:匹配工具ACL的使用_第3张图片

                                      

(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。

system-view

[Huawei]sysname LSW1

[LSW1]undo info-center enable

[LSW1]vlan batch 10 20

[LSW1]interface g0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1-GigabitEthernet0/0/1]quit

[LSW1]interface g0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1-GigabitEthernet0/0/2]quit

[LSW1]interface g0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type trunk

[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

[LSW1-GigabitEthernet0/0/3]quit

想要华为数通配套实验拓扑和配置笔记的朋友们点赞+关注,评论区留下邮箱发给你!

(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问

system-view

[Huawei]undo info-center enable

[Huawei]sysname R1

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]undo shutdown

[R1-GigabitEthernet0/0/1]quit

[R1]interface g0/0/1.10

[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10

[R1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24

[R1-GigabitEthernet0/0/1.10]arp broadcast enable

[R1-GigabitEthernet0/0/1.10]quit

[R1]interface g0/0/1.20

[R1-GigabitEthernet0/0/1.20]dot1q termination vid 20

[R1-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24

[R1-GigabitEthernet0/0/1.20]arp broadcast enable

[R1-GigabitEthernet0/0/1.20]quit

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[R1-GigabitEthernet0/0/0]undo shutdown

[R1-GigabitEthernet0/0/0]quit

(4)Server的配置如图11-4所示:

网工实验笔记:匹配工具ACL的使用_第4张图片

                                 

(5)测试PC1是否可以访问server,结果如图所示:

网工实验笔记:匹配工具ACL的使用_第5张图片              

通过以上输出可以看到PC1能访问server

(6)测试PC2是否可以访问server,测试结果如图11-6所示:

通过以上输出可以看到PC2也可以访问server

(7)在R1上配置基本的ACL

[R1]acl 2000  // 创建ACL编号为2000

[R1-acl-basic-2000]rule 10 deny source 192.168.20.0 0.0.0.255 //拒绝192.168.20.0网段

[R1-acl-basic-2000]quit

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作

[R1-GigabitEthernet0/0/1]quit

4、实验调试

(1)测试PC1是否可以访问服务器,结果如图所示:

网工实验笔记:匹配工具ACL的使用_第6张图片              

通过以上输出可以看到PC1不可以访问server

(2)测试PC2是否可以访问服务器,结果如图所示:

网工实验笔记:匹配工具ACL的使用_第7张图片

通过以上输出可以看到PC2可以访问server1,实验结束

【技术要点】

华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。

想要华为数通配套实验拓扑和配置笔记的朋友们点赞+关注,评论区留下邮箱发给你!

你可能感兴趣的:(笔记,网络,tcp/ip,ACL,路由策略)