华为eNSP配置访问控制列表ACL

举报
hello12345678 发表于 2021/09/25 14:27:22 2021/09/25
【摘要】 转载:https://blog.csdn.net/qq_27383609/article/details/112915691?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_title~default-1.no_search_link&spm=1001.2101.3001.4242

华为eNSP配置访问控制列表ACL
一、配置路由器R1和R2接口
二、基本ACL配置
三、高级ACL配置
(一)在R2上配置高级ACL拒绝PC1和PC2 ping server1,但是允许其HTTP访问Server1。
(二)拒绝源地址192.168.10.2 telnet访问12.1.1.2
访问控制列表ACL:access control list。ACL有两种:
1.基本ACL(2000-2999):只能匹配IP地址。
2.高级ACL(3000-3999):可以匹配IP、目标IP、源端口、目标端口等三层和四层的字段。
一个接口的同一个方向,只能调用一个ACL。
一个ACL里面可以有多个rule规则,从上往下依次执行,数据包一旦被rule匹配,就不再继续向下匹配。
华为ACL拒绝数据包时,默认配置是放过所有的数据。
华为模拟器Router不支持ACL,可以选择AR2220路由器。


一、配置路由器R1和R2接口
[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[R1]interface gi0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.10.254 24
save

[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]ip address 172.16.10.254
配置两端缺省路由,使得任意两台PC互相连通。
[R1]ip route-static 0.0.0.0 0 12.1.1.2
[R2]ip route-static 0.0.0.0 0 12.1.1.1
ping测试如下图所示:


二、基本ACL配置
R2路由器拒绝PC1192.168.10.1主机访问172.16.10.X网段
[R2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)
INTEGER<4000-4999> Specify a L2 acl group
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[R2]acl 2000 #建立访问控制列表2000
[R2-acl-basic-2000]rule deny source 192.168.10.1 ?
IP_ADDR<X.X.X.X> Wildcard of source
0 Wildcard bits : 0.0.0.0 ( a host )
[R2-acl-basic-2000]rule deny source 192.168.10.1 0
#拒绝192.168.10.1的主机访问路由器R2,0表示精确匹配
[R2-acl-basic-2000]dis this
#自动加的rule 5表示执行序号,越小越优先执行,默认第一条规则顺序编号是5,第二条是10。

[V200R003C00]

acl number 2000
rule 5 deny source 192.168.10.1 0

return
system-view
[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 #从入接口调用ACl2000
inbound和outbound取决于IP地址和路由器接口。
[R2-acl-basic-2000]undo rule 10 #取消配置rule10执行序号
[R2-GigabitEthernet0/0/0]undo traffic-filter inbound #取消之前的配置接口ACL

三、高级ACL配置
(一)在R2上配置高级ACL拒绝PC1和PC2 ping server1,但是允许其HTTP访问Server1。
[R2]acl 3000
[R2-acl-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16
.10.1 0
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #从入接口调用ACl3000
服务器172.16.10.1 的HTTP配置如图所示:

客户端192.168.10.1 的连接配置如图所示,获取到数据表示HTTP连接成功。


(二)拒绝源地址192.168.10.2 telnet访问12.1.1.2
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]undo traffic-filter inbound #取消之前配置的ACL配置
[R2]acl 3001
[R2-acl-adv-3001]rule deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 dest
ination-port eq 23(telnet) #eq是等于的意思,23可换成telnet

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。