华为ACL

实验环境

标准ACL:

实验1:1.vlan10和vlan20不能互相访问，但可以上网

2.vlan10的真实机不能上网，其他不受影像

[AR1]acl 2001

[AR1-acl-basic-2001]rule deny source 192.168.10.0 0.0.0.255 拒绝10.0网段

[AR1-acl-basic-2001]rule permit source any 允许所有网段

[AR1-GigabitEthernet0/0/1.2]traffic-filter outbound acl 2001 将ACL应用到端口

[AR1]acl 2000

[AR1-acl-basic-2000]rule deny source 192.168.10.10 0.0.0.0

[AR1-acl-basic-2000]rule permit source any

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

[AR1]display acl all查看所匹配的包

实验2: 1.Vlan10和20之间不能互相访问

2.vlan10中的C3和vlan20中的C4可以通信

3.Vlan10中的C1主机不可以打开网页，其他服务不影响，所有员工不能在公司上淘宝。

[AR1]acl 3000

[AR1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.16

8.20.0 0.0.0.255 拒绝10 网段访问20网段，因为访问是相互的所以20也无法访问10网段。

[AR1-acl-adv-3000]rule 4 permit ip source 192.168.10.3 0.0.0.0 destination 19

2.168.20.2 0.0.0.0

[AR1-acl-adv-3000]rule deny tcp source 192.168.10.2 0.0.0.0 destination any d

estination-port eq 80

3.2：[AR1-acl-adv-3000]rule deny ip source any destination 119.84.77.123 0.0.0.0

[AR1-acl-adv-3000]rule permit ip source any

分析：当acl生效时

匹配2允许10.3访问20.2，

匹配1拒绝vlan10访问vlan20。

匹配3拒绝10.2上网，

匹配3.2不能上淘宝

最后一条允许通过。

注意：可以把常用的规则在不影像下一条的情况下，写在前面，这样可以优化acl的性能。

例如：局域网互访的情况比较少，而大家上网的情况比较多则可以把上网限制的规则写到最前面。以避免数据包每次都逐一匹配。

扩展列表应用到进口的原则。

[AR1-GigabitEthernet0/0/1.1]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/1.2]traffic-filter inbound acl 3000

----------------------------------------------------------------

命名ACL和基于时间ACL应用实战

命名ACL只是ACL的另一种写法

1. 所有员工上班时间不能上网，其他时间可以。

2. 路由器AR1只能被AR2远程管理

time-range:

[AR1]time-range no-www 8:30 to 11:30 working-day 定义上午工作时间，取名为no-www

[AR1]time-range no-www 13:30 to 17:30 working-day定义下午工作时间

[AR1]display time-range all 查看配置的相关信息

修改设备时间：

[AR1]dis clock 查看设备时间

<AR1>clock timezone bj add 8 8是时间区

<AR1>clock datetime 11:16:00 2017-05-01

[AR1]acl name test advance 创建一个acl取名为test

[AR1-acl-adv-test]rule deny tcp source any destination-port eq www time-range

nowww 上班时间不允许上网

[AR1-acl-adv-test]rule permit ip

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl name test

[AR1-acl-basic-2000]rule permit source 12.0.0.2 0 标准列表只允许这个地址通过

[AR1]user-interface vty 0 4

[AR1-ui-vty0-4]acl 2000 inbound 只有12.0.0.2 能够登陆

[AR2]telnet client-source -a202.101.1.1 更改telnet的源地址

Telent 只能应用最基本的标准列表。

时间： 2024-10-24 20:18:29

华为ACL的相关文章

    华为 ACL 网络安全

华为ACL网络安全一. 1.物理层安全墙上的不同的网线接口连接交换机的端口关系: 2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定交换机端口连接计算机数量创建vlan: 3.网络层安全基于源IP地址目标IP地址控制: 4.传输层安全会话攻击 LAND攻击 syn洪水攻击: 5.应用层安全登陆密码: 6.网络层安全标准的ACL, 基于源地址进行控制: 7.访问控制列表扩展源地址: 基于原地址目标地址: 端口号进行控制. 二. 使用标准的ACL配置网络安全实

华为ACL综合应用详解

在企业当中需要实现对流量的过滤,ACL就是必须要使用的, 本文为大家详细介绍华为acl的综合应用. 实验要去如下: 实验要求:1.R1只允许IT登录:2.YF和CW之间不能互通,但都可以与IT互通:3.IT和YF可以访问Client1:4.CW不能访问Client1:5.YF和CW只能访问Server1的WWW服务:6.只有IT才能访问Server1的所有服务. 实验分析如下: CW1.YF和CW之间不能互通,但都可以与IT互通:2.CW不能访问Client1:3.CW只能访问Server1的W

华为ACL配置

实验拓扑: 实验要求: 1.在华为设备上配置标准ACL实现vlan 10主机不能和vlan20主机互访,但可以正常上网. 2. 在华为设备上配置扩展ACL实现vlan 10主机不能和vlan 20主机互访,但可以正常上网:vlan 10中C2需要和vlan 20中C3通信,vlan 10中C1不能打开网页,其他不受影响: 3. 在华为设备上配置命名ACL实现路由器R1只能被192.168.1.10主机远程管理. ACL原理: 1.ACL是从上至下逐条匹配,一旦匹配成功则不再向下匹配. 2.A

华为-ACL访问控制列表

ACL:access list 访问控制列表 acl 两种:基本acl(2000-2999):只能匹配源ip地址. 高级acl(3000-3999):可以匹配源ip.目标ip.源端口.目标端口等三层和四层的字段. 四个注意事项:注1:一个接口的同一个方向,只能调用一个acl 注2:一个acl里面可以有多个rule 规则,从上往下依次执行注3:数据包一旦被某rule匹配,就不再继续向下匹配注4: 用来做数据包访问控制时,默认隐含放过所有(华为设备) ACL 两种作用:① 用来对数据包做访问控制

华为acl访问控制列表基本使用

访问控制列表在企业当中特别常用,本文我们就来了解下华为访问控制列表ACL基本使用,入下图所示: 路由器R1基本配置如下: [R1]interface g0/0/1[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24[R1]interface g0/0/2[R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24[R1]interface g0/0/0[R1-GigabitEthernet0/0/1]

华为ACL高级应用与配置

ACL:access control list ,访问控制列表-作用:匹配感兴趣的流量.-实现:#规则#动作(允许/拒绝)#事件 -表示:-类型:#标准ACL/基本ACLID name#扩展ACL/高级ACLID name ACL的配置思路: 0.确保原有数据的连通性(基于现网需要来确定): 在没有实施ACL之前,所有PC 之间是互通的: 1.查看设备上已经存在的ACL [R1] display acl [2000] | all 2.创建ACL [R1] acl 2000 [match-or

华为ACL设置

拓扑图如下一.要求如下禁止外网192.168.1.1访问服务器10.0.0.1 方案1 #acl 2010 rule 5 deny ip source 192.168.1.1 0 #interface GigabitEthernet 0/0/1 traffic-filter outbound acl 2010 方案2 #acl 2020 rule 5 deny ip source 192.168.1.1 0 #interface GigabitEthernet 0/0/24 #注意端口 tra

华为ACL控制协议实现流量控制

一.网络拓扑:二.实验内容:实现ACL控制流量的相关操作三.实验步骤:1.新建拓扑,添加三台路由器,两台PC机,并连线. 2.按照下图配置相关节点的IP地址,利用RIP协议配置路由器之间的动态路由RIP配置命令如下:[Huawei]rip 10[Huawei-rip-10]version 2 //启用RIPV2[Huawei-rip-10]network 192.168.1.0 //宣告网络进入RIP协议[Huawei-rip-10]network 192.168.2.0 //宣告网络进入RIP

华为和思科对比ip-vlan-stp-路由

1.配置ip地址:接口视图:ip address ip地址子网掩码(长度或255.255.255.255)思科需要no sh启用,华为不需使用undo sh启用,默认启用:查看ip:思科sh ip int b,华为display ip int b.2.vlan:1)创建vlan:思科:特权模式:vlan database -->vlan 编号1 编号2-->exit华为:系统试图:vlan batch 编号1 编号2 ... 2)查看vlan:思科:sh vlan b华为:display v