H3C ACL 访问控制

实验拓扑

各路由器和PC的ip配置

PC1
[PC1]int g0/0
[PC1-GigabitEthernet0/0]ip add 192.168.1.1 24
PC2
[PC2]int g0/0
[PC2-GigabitEthernet0/0]ip add 192.168.1.2 24
R1
[R1]int g0/0
[R1-GigabitEthernet0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0]int g0/1
[R1-GigabitEthernet0/1]ip add 100.1.1.1 24
R2
[R2]int g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]int g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]int g0/2
[R2-GigabitEthernet0/2]ip add 192.168.2.2 24
R3
[R3]int g0/0
[R3-GigabitEthernet0/0]ip add 100.2.2.3 24
[R3-GigabitEthernet0/0]int g0/1
[R3-GigabitEthernet0/1]ip add 192.168.3.3 24
SERVER
[SERVER]int g0/0
[SERVER-GigabitEthernet0/0]ip add 192.168.3.1 24

路由配置在各路由器之间配置ospf在pc配置默认路由（相当于网关）

[PC1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
[PC2]ip route-static 0.0.0.0 0 192.168.1.254
[SERVER]ip route-static 0.0.0.0 0 192.168.3.3
R1
[R1]ospf router-id 1.1.1.1
[R1-ospf-1]a 0
[R1-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]qu
[R1-ospf-1]silent-interface g0/0R2
[R2]ospf router-id 2.2.2.2
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]net 100.2.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]net 2.2.2.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]q
[R2-ospf-1]silent-interface g0/2
R3
[R3]ospf r 3.3.3.3
[R3-ospf-1]a 0
[R3-ospf-1-area-0.0.0.0]net 100.2.2.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]net 3.3.3.3 0.0.0.0

创建基本 ACL，使 192.168.1.0/24 网段不能访问 192.168.2.0/24 网段，并在 R2 的 g0/2 接口的出方向配置包过滤

[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule deny s 192.168.1.0 0.0.0.255
[R2-acl-ipv4-basic-2000]qu
[R2]int g0/2
[R2-GigabitEthernet0/2]packet-filter 2000 outbound

创建高级 ACL，使 PC1 可以访问 SERVER1 的 TELNET 服务，但不能访问 FTP 服务；PC2 可以访问 SERVER1 的 FTP 服务，但不能访问 TELNET 服务，并在 R1 的 g0/1 接口的入方向配置包过滤

#
acl advanced 3000rule 0 deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range ftp-data ftprule 5 deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq telnet
#
[R1-GigabitEthernet0/0]packet-filter 3000 inbound

创建高级 ACL，使PC3 不能访问 SERVER1，并在 R2 的 g0/2 接口的入方向配置包过滤

[R2]acl advanced 3000
[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.1 0 destination 192.168.3.1 0
[R2-GigabitEthernet0/2]packet-filter 3000 inbound

总结
基本ACL只能抓取匹配源地址ip的数据包，高级ACL则能够根据五元组（也就是你题目中的五要素）来进行限制，即源IP、目的IP、源端口、目的端口及IP协议号。更为精确。抓取到的的数据包需要匹配路由策略使用才有效。H3的ACL是默认permit的，cisco的ACL是默认deny。

H3C ACL 访问控制相关推荐

【HCL】H3C使用telnet访问交换机（应用acl访问控制）的实验
访问交换机的4种方式: A． Console B． MiniUSB:需要安装MiniUSB驱动 C． Ssh方式远程登录设备 D． telnet方式远程登录设备本文演示使用telnet远程访问h3c ...
emq认证mysql后如何使用_EMQ 认证设置和acl访问控制
配置文件说明 etc/emqx.conf EMQ X 配置文件 etc/acl.conf EMQ X 默认 ACL 规则配置文件 etc/plugins/*.conf EMQ X 扩展插件配置文件 1 ...
部署Squid 代理服务器(内含传统、透明代理服务器的配置、ACL访问控制、日志分析、反向代理)
标题一.Squid 代理服务器代理的工作机制 Squid 代理的类型二.安装 Squid 服务 1.编译安装 Squid 2.修改 Squid 的配置文件 3.Squid 的运行控制 4.创建 ...
Squid代理（传统代理、透明代理、反向代理）、日志分析、ACL访问控制
Squid代理(传统代理.透明代理.反向代理).日志分析.ACL访问控制一.Squid代理服务器 1.代理的工作机制 2.代理的类型二.安装Squid服务 1.编译安装Squid 2.修改Squi ...
ccna第十一课 ACL访问控制列表
ACL访问控制列表,应用于接口控制网络规则及流量.一个接口的一个方向只能应用一个控制列表标准控制列表(序号1-99)主要是根据源ip地址进行控制扩展控制列表(序号100-199)基于源和目的地址. ...
华为路由器Serial接口及串口无法实现ACL访问控制解析
关于华为路由器串口无法实现ACL访问控制的个人见解及解析因本人在日常eNSP实验环境测试中发现,在华为AR2200路由器的Serial接口上可以应用高级ACL访问控制列表,但是ACL访问控制列表并不 ...
ACL访问控制列表（访问控制、抓取感兴趣流）详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
squid缓存服务器 ACL访问控制传统代理透明代理 squid日志分析反向代理
缓存代理概述 Squid提供了强大的代理控制机制,通过合理的设置ACL,并进行限制,可以针对源地址.目标地址.访问的URL路径.访问的时间等条件进行过滤. 作为应用层的代理服务器软件,Sqiod主要提 ...
Squid服务器应用（Squid传统代理、Squid透明代理、ACL访问控制、Squid日志分析、Squid反向代理）
文章目录一.缓存代理概述二.Squid代理服务器三.代理的工作机制四.Squid代理的类型五.部署Squid代理服务器步骤 (一).安装Squid服务 (二).构建传统代理服务器 (三).构 ...
Squid 缓存代理（二）---ACL访问控制、日志分析
文章目录前言一.ACL访问控制 1.定义访问控制列表 2.方法一: 3.方法二: 二.日志分析前言承接上篇博客Squid 缓存代理(一)-原理及搭建(传统.透明) 一.ACL访问控制在配置文 ...

H3C ACL 访问控制

H3C ACL 访问控制相关推荐

最新文章

热门文章