实验目的

模拟器有三台主机PC,是PC1,PC2,PC3我们分别使用基本ACL高级ACL和二层ACL来实现一些访问控制,用户可自行体会其中的差别

实验拓补

前半段

开始前,我们首先让三台PC获取IP地址,方便后面的实验


<Huawei>system-view //进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]sysname CORE //命名设备
[CORE]vlan batch 10 20 30//创建三个vlan,10 20 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[CORE]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.[CORE]interface Vlanif 10 //进入vlanif10
[CORE-Vlanif10]ip address 192.168.10.254 24 //配置IP地址
[CORE-Vlanif10]dhcp select interface //dhcp的方式是基于接口
[CORE-Vlanif10]quit [CORE]interface Vlanif 20
[CORE-Vlanif20]ip address 192.168.20.254 24
[CORE-Vlanif20]dhcp select interface
[CORE-Vlanif20]quit [CORE]interface Vlanif 30
[CORE-Vlanif30]ip address  192.168.30.254 24
[CORE-Vlanif30]dhcp select interface
[CORE-Vlanif30]quit [CORE]interface GigabitEthernet 0/0/1
[CORE-GigabitEthernet0/0/1]port link-type access //设置链路类型为ACCESS
[CORE-GigabitEthernet0/0/1]port default vlan 10 //划分至vlan10
[CORE-GigabitEthernet0/0/1]quit [CORE]interface GigabitEthernet 0/0/2
[CORE-GigabitEthernet0/0/2]port link-type access
[CORE-GigabitEthernet0/0/2]port default vlan 20
[CORE-GigabitEthernet0/0/2]quit [CORE]interface GigabitEthernet 0/0/3
[CORE-GigabitEthernet0/0/3]port link-type access
[CORE-GigabitEthernet0/0/3]port default vlan 30
[CORE-GigabitEthernet0/0/3]quit
[CORE]

基本ACL(2000-2999)

实验目的:禁止192.168.30.253的IP地址的主机访问192.168.10.253的主机

[CORE]acl 2000//创建基本ACL,编号是2000
[CORE-acl-basic-2000]step 10 //设置步长为10
[CORE-acl-basic-2000]ru deny source 192.168.30.253 0.0.0.0  //拒绝192.168.30.253的IP报文
[CORE-acl-basic-2000]quit
[CORE]interface GigabitEthernet 0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //你G0/0/1的出端口调用ACL2000

高级ACL(3000-3999)

实验目的:禁止IP地址是192.168.30.0的网段访问192.168.10.253的主机

[CORE]acl 3000
[CORE-acl-adv-3000]rule deny ip source 192.168.30.0 0.0.0.255 destination 192.16
8.10.253 0.0.0.0
[CORE-acl-adv-3000]quit [CORE]interface GigabitEthernet 0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

二层ACL(4000-4999)

实验目的:禁止MAC地址是5489-98d2-1bdd的主机访问MAC地址为5489-9834-1372的主机

注:这里的设计有问题,在三层交换机上,只有两台主机在同一vlan下才可以实现,不过思路还是这个思路。

这里发生了个有趣的事情,ENSP模拟器宛如ZZ一样,怎么都实现不了想要的效果,还以为配置有问题,重新增加交换机和主机测试就OK了,所以模拟器还是有很多潜在的BUG的。

哈哈,其实是我错了,我要留下这段话。

[CORE]acl 4001
[CORE-acl-L2-4001]rule  deny source-mac 5489-98d2-1bdd destination-mac 5489-9834
-1372
[CORE-acl-L2-4001]quit [CORE]interface GigabitEthernet 0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filter outbound acl 4001
[CORE-GigabitEthernet0/0/1]quit

更正:天呐!这里犯了一个错误,其实这段代码是实现不了互相禁止的,因为vlan10和vlan30属于三层IP转发,三层交换机上,如果是同一vlan下是可以用ACL4000实现的(同一vlan转发不涉及三层转发)。所以有三层交换机的时候我们尽量用高级ACL来做(3000-3999).

常用ACL

分类 规则定义描述 编号
基本ACL 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 2000-2999
高级ACL 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 3000-3999
二层ACL 使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。 4000-4999
用户自定义ACL 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,从而过滤出相匹配的报文。 5000-5999
用户ACL 既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 6000-6999
基本ACL6 可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则 2000-2999
高级ACL6 可以使用IPv6报文的源IPv6地址目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 3000-3999

华为企业交换机ACL经典案例相关推荐

  1. 华为企业交换机用DISPLAY ARP all查看IP-MAC关系对应表

    在日常维护工作中,用户可以在任意视图下执行display arp相关命令,查看设备上的ARP表项信息. 通过在网关设备上查看ARP表项,网络管理员可以查看下挂用户的IP地址.MAC地址和接口等信息.例 ...

  2. 华为 5700交换机ACL traffic behavior命令 deny permit

    官方定义: 先匹配ACL,如是deny那就直接过滤掉,不再通过qos匹配:如是acl是permit,那么接下来qos流量进行匹配. 个人总结: traffic behavior使用permit表示按照 ...

  3. 华为企业管理经典案例_企业税务筹划-华为公司税筹案例分析

    中国企业集团跨国经营注定其要面临激烈的国际竞争,在生产经营过程中,税务管理方面需要严格依据各个国家的税法进行税务筹划和管理,同时还需要对各类应税经营活动进行科学合理的安排,以最大程度上降低企业税负!对 ...

  4. 华为交换机ACL配置

    华为交换机ACL配置 一.网络环境 1.网络拓扑 2.网络互通链接 二.ACL要求 三.ACL实施 1.部门A禁止访问部门B 2.服务器区域ACL配置 3.部门D不能访问部门C 一.网络环境 1.网络 ...

  5. CSDN学霸课表——企业网络经典案例

    企业网络经典案例实验 讲师:金速鹏 课程以大型连锁集团网络为案例,在理论基础上,充分实验,实现典型的集团网络架设与调试.集团双线接入,与全国各分公司VPN组成虚拟内网. ►开始学习 https在云服务 ...

  6. 网工小记录(5):华为交换机acl配置、vpn-instance调用问题

    背景:印象中华为路由交换设备acl的默认动作为deny ,若acl空配是否为deny any any呢? 项目中配置了acl,但acl下为空,在vty下调用了该acl,却发现所有ip都能ssh进设备, ...

  7. 【华为S5735交换机telnet配置不成解决案例】

    笔者近期刚拿到一台华为S5735S-24T4X交换机,想配置telnet登录来管理设备,之前配置过华为交换机路由器的telnet和ssh,尤其是在模拟器是配置过多次,认为这是一个简单的事情.按说不在话 ...

  8. 华为交换机IPv6配置案例

    学点芝士 | IPv6系列之"相遇" IPv6(Internet Protocol Version 6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Genera ...

  9. spark企业经典案例之手机app流量统计

    spark企业经典案例之手机app流量统计,本课程是基于企业真实项目案例中的一个模块为背景讲解,此业务涉及spark统计,然后通过phpweb进行读取数据,最终通过手机端展示,根据公司案例抽取出来的模 ...

最新文章

  1. Jetson nano刷好机之后需要做的准备工作
  2. 【Vue.js】vue2组件间通信方式总结
  3. 物理化学 相平衡
  4. leetcode初级算法1.删除排序数组中的重复项
  5. 田渊栋:博士五年总结
  6. Springsecurity搭建自定义登录页面
  7. ChaiNext:过去24小时,比特币破5.5W
  8. mysql show status 过滤_在线更改复制过滤选项的方法
  9. leetcode 594 最长和谐子序列
  10. 北京java培训机构收费,Java开发者必看
  11. Linux系统下如何配置SSH?如何开启SSH?
  12. go调用python脚本_谁能取代Python?我使用Go来部署机器学习模型的原因
  13. 离散数学(五):命题逻辑的推理理论
  14. python实时显示进度条_Python进度条实时显示处理进度的示例代码
  15. 论文笔记:NAOMI: Non-Autoregressive MultiresolutionSequence Imputation
  16. 物流行业SaaS多租用商城系统:提升企业物流管理效率,实现高效协同
  17. jwt 生成token时报错
  18. Python中列表去重,保留原先顺序的八种方法
  19. 字库芯片介绍与使用(附STM32程序~~~)
  20. 通过PS合成电影场景里海怪的场景

热门文章

  1. spring 事务回调
  2. c语言中int和void,关于指针:void(*)void和int(*)int在C中的含义是什么?
  3. xml文件怎么转换成wps_xml文件转word文档 怎么将XML文档转成WORD文档
  4. 【人工智能】谓词表示法与产生式知识表示实验
  5. 京东换新 Logo :脸蛋胖了,脖子粗了
  6. QT OpenGL(一 VAO、VBO、EBO使用)
  7. Android仿微信发图片的样式,做IM的同学的病有救了
  8. ye我们胜利了的shooow
  9. A40I构建编译应用程序的SDK环境
  10. 批量生成独一无二的NFT猫猫图,这项目王多鱼会投吗?