华为ACL控制协议实现流量控制

一、网络拓扑:

二、实验内容:实现ACL控制流量的相关操作
三、实验步骤:
1、新建拓扑,添加三台路由器,两台PC机,并连线。

2、按照下图配置相关节点的IP地址,利用RIP协议配置路由器之间的动态路由

RIP配置命令如下:
[Huawei]rip 10
[Huawei-rip-10]version 2 //启用RIPV2
[Huawei-rip-10]network 192.168.1.0 //宣告网络进入RIP协议
[Huawei-rip-10]network 192.168.2.0 //宣告网络进入RIP协议
每个路由器的network都I写本路由接口的IP网段
3、配置ACL规则,使PC1不能访问PC2,网络中的其他节点PC1都能访问。配置ACL之前,先验证PC1与PC2能否ping通:

配置ACL命令如下:
[Huawei]acl 3000 //创建高级ACL条目 acl 3000
[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 destination 192
.168.4.1 0.0.0.0 //配置ACL 3000的规则,拒绝192.168.1.1访问192.168.4.1
[Huawei-acl-adv-3000]quit //退回系统视图
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //进入端口GigabitEthernet0/0/1调用acl 3000
再次验证主机PC1ping主机PC2,以及主机PC1ping PC2的网关


4、配置ACL规则,使AR3不能远程访问AR1和AR2,先在AR2和AR1上开启远程登录以及设置密码,验证AR3能否远程访问AR1和AR2
AR1命令如下:
[Huawei]user-interface vty 0 4 //进入远程登录配置界面
[Huawei-ui-vty0-4]authentication-mode password //配置验证模式为密码验证
Please configure the login password (maximum length 16):123 //设置远程登录密码为123
AR3远程访问命令:<Huawei>telnet 192.168.3.2


根据上如可知AR3可以远程登录到AR1和AR2,下面配置ACL规则,不允许AR3远程登录AR1和AR2。因为telent 访问时的源端口是随机的,而目标端口是固定的,所以要使AR3不能远程访问AR1和AR2,只能限制目标端口号tcp 23.另外每个路由器都有两个端口,所以需要限制目标IP为AR1和AR2上的接口IP,源IP为AR3上的两个接口IP。配置命令如下:
[Huawei]acl 3333
[Huawei-acl-adv-3333]rule 5 deny tcp source 192.168.1.254 0.0.0.0 destination 19
2.168.2.2 0.0.0.0 destination-port eq 23 //拒绝192.168.1.254访问192.168.2.2的TCP23号端口
[Huawei-acl-adv-3333]rule 10 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.2.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 15 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 20 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 25 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 30 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 35 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 40 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]quit //退回系统视图
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3333 //调用acl 3000
验证AR3通过192.168.2.1和192.168.1.254分别远程登录AR2和AR1的,结果如下:

通过上图可知,无论AR3通过哪个接口远程登录AR1和AR2都不能成功,再验证AR1和AR2能否互相远程登录


由图可知AR1和AR2可以远程登录,综上可知,以上的配置,成功阻止了AR3远程登录AR1和AR2,却没有影响AR1和AR2之间的互相远程登录。

原文地址:http://blog.51cto.com/13725021/2132985

时间: 2024-07-29 20:24:28

华为ACL控制协议实现流量控制的相关文章

&nbsp; &nbsp; 华为 ACL 网络安全

华为ACL网络安全 一. 1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系: 2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan: 3.网络层安全  基于源IP地址 目标IP地址控制: 4.传输层安全   会话攻击 LAND攻击 syn洪水攻击: 5.应用层安全  登陆密码: 6.网络层安全 标准的ACL, 基于源地址进行控制: 7.访问控制列表 扩展源地址: 基于原地址 目标地址: 端口号进行控制. 二. 使用标准的ACL配置网络安全 实

传输控制协议TCP学习(一)

时间:2014.06.25 地点:基地 --------------------------------------------------------------------------------- 一.TCP服务 TCP位于应用层与网络层之间,提供介于应用程序和网络功能之间的服务.主要包括如下服务: 1.1进程到进程的通信 与UDP一样,TCP也使用端口号提供进程到进程的通信 1.2流交付服务 与UDP不一样,TCP是一种面向流的协议. UDP中,进程将已定义好边界的报文发给UDP以便进行

TCP协议之流量控制

说明: 本文仅供学习交流,转载请标明出处,欢迎转载! 本文是以下文献相关内容的总结 [1] <TCP/IP详解 卷1:协议> [2] <TCP/IP协议族 第4版> [3] <计算机网络 第5版> TCP流量控制的目的是限制发送端的发送速率,使得接收方能够及时接收.TCP主要是通过滑动窗口来实现流量控制的.实际上,发送窗口的大小不仅受接收窗口rwnd的大小的限制,还受拥塞窗口cwnd窗口的限制,为了实现点到点的流量控制,本文假设拥塞窗口足够大(即网络链路比较流畅),仅考

squid代理与acl控制

      squid代理与acl控制 1:squid服务的作用 1.加快对http访问的速度 2.提高安全性 3.能够进行访问控制 代理的基本类型 l 传统代理:需要在客户机的浏览器.相关的工具上手动设置代理服务器的地址和端口,访问的网页域名也是由代理服务器进行解析的 l 透明代理:客户不需要指定代理服务器的地址和端口,而是通过网关,由防火墙的重定向策略将用户的请求交给代理服务器处理:域名解析有客户机完成 2:首先进行传统配置:如图   一.安装squid 1.解压 [[email prote

ACL控制访问列表原理+实验

ACL控制访问列表原理+实验1.原理:ACL使用包过滤技术,在路由器上读取ISO七层模型的第三层及第四层包头中的信息,如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则,对包头进行过滤.2.从上到下逐条匹配,一旦匹配则停止匹配,一条不匹配,执行隐含(拒绝)命令.3.原则上ACL控制访问列表设置在进端口效率更高4.ACL的类型有三类:A.标准ACL,根据数据包的源IP地址来允许或拒绝转发数据包,列表号(1-99)B.扩展ACL,根据数据包的源IP地址,目的IP地址,指定协议,端口和标志来

HAProxy实现高级负载均衡实战和ACL控制

 haproxy实现高级负载均衡实战 环境:随着公司业务的发展,公司负载均衡服务已经实现四层负载均衡,但业务的复杂程度提升,公司要求把mobile手机站点作为单独的服务提供,不在和pc站点一起提供服务,此时需要做7层规则负载均衡,运维总监要求,能否用一种服务同既能实现七层负载均衡,又能实现四层负载均衡,并且性能高效,配置管理容易,而且还是开源. 实验前准备: ① 两台服务器都使用yum 方式安装haproxy yum -y install haproxy ② iptables -F &&

思科命令配置小技巧四:用ACL控制debug 输出

使用debug命令可以帮助我们TS,但是使用debug命令往往会输出一大堆信息,很多是我们不需要用的,也会造成CPU高负荷,这种情况下我们可以限制debug的输出 可以应用ACL到debug以限定仅输出要求的debug信息. 如仅查看从1.1.1.1到1.1.1.2的ICMP包: Router(config)# access-list 100 permit icmp host 1.1.1.1 host 1.1.1.2 Router# debug ip packet detail 100 思科命令

使用Hadoop ACL 控制訪问权限

使用Hadoop ACL 控制訪问权限 一.HDFS訪问控制 hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</value> </property> <property> <name>dfs.namenode.acls.enabled</name> <value>true&l

《TCP/IP详解卷2:实现》笔记--TCP:传输控制协议

传输控制协议,即TCP,是一种面向连接的传输协议,为两端的应用程序提供可靠的端到端数据流传输服务,它完全不同于 无连接的.提供不可靠数据传输服务的UDP协议. 下图描述了各TCP函数与其他内核函数之间的关系,带阴影的椭圆分别表示我们将要讨论的9个主要的TCP函数. 1.TCP的protosw结构 下图列出了TCPprotosw结构的成员变量,它定义了TCP协议与系统内其他协议之间的交互接口. 2.TCP的首部 tcphdr结构定义了tcp首部.下图给出了tcphdr结构的定义和TCP首部. 大多