*实验示例均以华为的设备为例,部分实验在ENSP模拟器实现,部分为真机实现
实验工程文件下载 https://download.csdn.net/download/i12344/85189719
实验1要求:在R2上配置高级ACL,拒绝PC1和PC2 ping Server但允许http访问
基础配置:IP地址和静态路由使图1网络互通(略)
ACL配置:
[R2]acl number 3000
[R2-acl-adv-3000]rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
#只有报文是①icmp、且②源IP地址是192.168.10.x、且③目的IP地址是172.16.10.2才会被拒绝,需同时满足三个条件才会被匹配
[R2-acl-adv-3000]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000实验1结果:
PC1和PC2均无法ping通Server
但是可以通过http访问Server服务器
实验2要求:拒绝192.168.10.2 telnet访问12.1.1.2
ACL配置:
[R2]acl number 3005
[R2-acl-adv-3005]rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq 23
[R2-acl-adv-3005]dis this
[V200R003C00]
#
acl number 3005
rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port e
q telnet
#
return
[R2-acl-adv-3005]qu
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3005R2上配置telnet用户:
[R2]telnet server enable
[R2]aaa
[R2-aaa]local-user abc privilege level 3 password cipher 123
[R2-aaa]local-user abc service-type telnet
[R2-aaa]qu
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa实验2结果:
R1可以Telnet到R2(如图4),PC却无法telnet到R2
其他高级ACL配置举例(无实验):
1)允许源IP地址172.16.1.1的PC访问172.16.2.1,其余报文全部拒绝
ACL 3008
rule 5 permit ip source 172.16.1.1 0 destination 172.16.2.1 0
rule 10 deny ip2)拒绝任何人上QQ客户端(传输层 UDP 8000端口)
ACL 3101
rule 5 deny udp destination-port eq 8000注:⑴如果ACL没有被调用,该ACL不起任何作用
⑵ACL属于三层技术,只能部署在三层设备上,ACL适合用于不同网段互访的访问控制
⑶相同vlan相同网段PC互访控制不适合ACL,建议使用端口隔离
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)