ACL实验

ACL实验

ACL实验

基本配置:略

首先根据题目策略的需求1,从这个角度看,我们需要做一条高级ACL,因为我们不仅要看你是谁,还要看你去干什么事情,用高级ACL来做的话,对于我们华为设备,只写拒绝,因为华为默认允许所有

所以telnet R1 我们不用管,只写一条拒绝,不让PC1 ping R1 就行了

因为两条都有telnet的服务需求,所以我先把R1R2的telnet服务开启

先到aaa里面创建一个用户

[r1]aaa
[r1-aaa]

创建一个hzf 用户,他的优先级是15,密码123456

[r1-aaa]local-user hzf privilege level 15 password cipher 123456

这个用户是做什么用的呢?主要是做telnet用的

[r1-aaa]local-user hzf service-type telnet

把我们的虚拟端口开启, 0 4是开启五个端口,同时可以登录五个人,这边只开个0端口

[r1]user-interface vty 0

告诉端口它的认证类型 :aaa

[r1-ui-vty0]authentication-mode aaa

[r1-ui-vty0]q

此时我们便开启了telnet

同样方法开启r2的telnet服务

在R1上先创建一个高级acl 3000

[r1]acl 3000

[r1-acl-adv-3000]

注意写的时候只需要写拒绝就可以了,拒绝ping R1

ping匹配icmp协议,源地址匹配192.168.1.10 写死,目标地址192.168.1.1 写死,

r1有两个端口因此都加入规则

[r1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0

[r1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0

PC1不能telnet R2,因此写入规则

不能telnet是tcp协议,源地址192.168.1.10 写死,目标地址192.168.2.2 写死,目标端口23(telnet端口 23),icmp为啥不加,相当于所有icmp的包我们都拒绝,一般情况下,只有ping用icmp的包,还有tracert。要是不写目标端口会导致所有tcp协议的包都被拦截,所以我们要声明目标端口

[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规则写好了,我们就要调用,在r1的0/0/0接口

方向是流入方向inbound

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

ping和telnet测试:略

同理PC2的acl规则可以直接写入3000里,

[r1]acl 3000
[r1-acl-adv-3000]

拒绝PC2 telnet r1,也是两个端口都拒

[r1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.1
.1 0.0.0.0 destination-port eq 23

[r1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.2
.1 0.0.0.0 destination-port eq 23

可以ping R1,华为设备默认允许全部

不可以ping R2,但是可以telnet R2

[r1-acl-adv-3000]rule deny icmp source 192.168.1.11 0.0.0.0 destination 192.168.
2.2 0.0.0.0

测试:略

ACL实验

上一篇:【MS SQL】通过执行计划来分析SQL性能


下一篇:AWS架构构筑01(VPC+ALB)