码迷,mamicode.com
首页 > 其他好文 > 详细

与ACL的初次见面--实验

时间:2018-05-15 17:45:59      阅读:253      评论:0      收藏:0      [点我收藏+]

标签:rip acl

实验1:
技术分享图片
目的:拒绝1.0网段访问
PC1:192.168.1.1/24 网关:192.168.1.254
PC2:192.168.2.1/24 网关:192.168.2.254
步骤:
AR6
Huawei]sysname AR6
[AR6]inter gi0/0/0
[AR6-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR6-GigabitEthernet0/0/0]q
[AR6]inter gi0/0/1
[AR6-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[AR6-GigabitEthernet0/0/1]q
[AR6]rip
[AR6-rip-1]version 2
[AR6-rip-1]network 192.168.1.0
[AR6-rip-1]network 192.168.12.0
AR7
<Huawei>sys
[Huawei]sysname AR7
[AR7]inter gi0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[AR7-GigabitEthernet0/0/0]q
[AR7-GigabitEthernet0/0/1]ip add 192.168.23.1 24
[AR7-GigabitEthernet0/0/1]q
[AR7]rip
[AR7-rip-1]version 2
[AR7-rip-1]network 192.168.12.0
[AR7-rip-1]network 192.168.23.0
[AR7]display ip routing-table
AR11
<Huawei>sys
Huawei]sysname AR11
[AR11]inter gi0/0/0
[AR11-GigabitEthernet0/0/0]ip add 192.168.23.2 24
[AR11-GigabitEthernet0/0/0]q
[AR11]inter gi0/0/1
[AR11-GigabitEthernet0/0/1]ip add 192.168.34.1 24
[AR11-GigabitEthernet0/0/1]q
[AR11]rip
[AR11-rip-1]version 2
[AR11-rip-1]network 192.168.23.0
[AR11-rip-1]network 192.168.34.0
AR10
<Huawei>sys
[Huawei]sysname AR10
[AR10]inter gi0/0/0
[AR10-GigabitEthernet0/0/0]ip add 192.168.34.2 24
[AR10-GigabitEthernet0/0/0]q
[AR10]inter gi0/0/1
[AR10-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR10-GigabitEthernet0/0/1]q
[AR10]rip
[AR10-rip-1]version 2
[AR10-rip-1]network 192.168.34.0
[AR10-rip-1]network 192.168.2.0
验证是否可以通
技术分享图片
AR6
[AR6]acl 2000 设置基本acl
[AR6-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 规则10 拒绝源ip1.0网段所有 通配符
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用命令2000
验证:
技术分享图片
实验二:
技术分享图片
连接交换机(交换机可以连接多台电脑,路由器只能连接一台电脑) 加三台主机
要求:只允许PC1与PC2拼通
环境:
PC3:192.168.1.3/24 网关192.168.1.254
PC4:192.168.1.4/24
PC5:192.168.1.5/24
思路:1.仅仅允许PC1,拒绝所有
2.明确拒绝其他三台,允许所有
在实验一的基础上开始实验二,那应先撤销对AR6入端口的acl设置
[AR6]inter gi 0/0/0
[AR6-GigabitEthernet0/0/0]undo traffic-filter inbound 端口的调用命令要删掉,以免日后启用这个端口报错
[AR6]undo acl 2000 删掉acl
技术分享图片
[AR6]acl 2000 配置基本acl
[AR6-acl-basic-2000]rule 10 permit source 192.168.1.1 0.0.0.0 规则为10 只允许1.1
[AR6-acl-basic-2000]rule 20 deny source 192.168.1.0 0.0.0.255 规则为20 拒绝1.0所有
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用acl2000
[AR6-GigabitEthernet0/0/0]q
[AR6]display acl all 查看已配置的acl
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 2 rules
Acl‘s step is 5
rule 10 permit source 192.168.1.1 0
rule 20 deny source 192.168.1.0 0.0.0.255
验证PC1与PC2可拼通
PC1与PC2不可拼通
技术分享图片
技术分享图片

实验三
要求:基于实验1的基础 PC1不可拼通AR11 但可远程
[AR11]acl 3000 配置高级acl
[AR11-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 规则5(随便配置编号)拒绝1.1网络的PIN命令
[AR11]interface gi0/0/0
[AR11-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 调用acl3000
[AR11-GigabitEthernet0/0/0]q
[AR11]user-interface vty 0 4 因为要验证远程因此给被远程的机器配置密码以供验证
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):123
LSW1:
[Huawei]interface vlanif 1 给交换机2配置ip地址(模拟器中的pc机没有远程的功能,因此我们用交换机来代替)
[Huawei-Vlanif1]ip add 192.168.1.5 24
[Huawei-Vlanif1]q
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 给交换机(有路由功能,安排一条出去的路径)
验证
技术分享图片
技术分享图片

实验四:
要求:允许1.0网段远程AR11,其他网段都不可以
第一步:基于实验3,删掉AR11的acl3000,进入端口删掉traffic
[AR11]acl 2001 设置基本acl
[AR11-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 允许1.0网段访问
[AR11-acl-basic-2001]q
[AR11]user-interface vty 0 4
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):1234
[AR11-ui-vty0-4]acl 2001 inbound 在虚拟接口上用这条调用命令后,其他默认是拒绝
验证:分别LW1远程11 AR7远程11
技术分享图片
技术分享图片

实验五:
要求:1.1,1.3,1.5,1.7拒绝访问pc2 其他可以
基于实验四,[AR11]undo acl 2001
思路:1.找公共部分,相同位直接写,不同位变成0
1 0000 0001
3 0000 0011
5 0000 0101
7 0000 0111
可变量只有最后一部分的两个字节
公共部分192.168.1.00000001=192.168.1.1
2.确认通配符:通配符与公共ip地址是一一对应的;在通配符中,与公共ip地址中不变的位对应的位置写0,
反之写1
0.0.0.00000110==>0.0.0.6
配置:
[AR6]acl 3001
[AR6-acl-adv-3001]rule 10 deny icmp source 192.168.1.1 0.0.0.6 destination 192.168.2.1 0.0.0.0 拒绝从公共部分为192.168.1.1(推演过程如上)的客户端拼到192.168.2.1的服务器
验证技术分享图片
技术分享图片

与ACL的初次见面--实验

标签:rip acl

原文地址:http://blog.51cto.com/13721786/2116320
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!