华为 ACL 网络安全

remington_young

　　华为ACL网络安全
　　一.
　　1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系；
　　2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan；
　　3.网络层安全  基于源IP地址 目标IP地址控制；
　　4.传输层安全   会话*** LAND*** syn洪水***；
　　5.应用层安全  登陆密码；
　　6.网络层安全
　　标准的ACL，
　　基于源地址进行控制；
　　7.访问控制列表
　　扩展源地址；
　　基于原地址 目标地址；
　　端口号进行控制。
　　二.
　　使用标准的ACL配置网络安全

　　实验要求：
　　网络中的路由器和计算机已经配置ip地址和路由在Router 0上定义标准acl实现以下功能；
　　1.只有市场部和财务部的计算机能够访问internet；
　　2.服务器组中的计算机拒绝访问internet。
　　实验代码：
　　Router 0
　　Router#config t
　　Router#(config)access-list 10 deny host 192.168.2.2
　　拒绝这个ip上网
　　Router#(config)access-list 10 permit 192.168.1.0 0.0.0.255
　　Router#(config)access-list 10 permit 192.168.2.0 0.0.0.255
　　允许ip上网
　　Router#(config)interface serial 3/0
　　使用标准的acl配置网络安全

　　Router#(config-if)ip access-group 10 out
　　Router#show access-lists
　　查看访控制列表

　　先拒绝在允许上网 关系不能搞错了
　　实验验证：

　　三.
　　使用扩展的ACL实现网络安全
　　拓扑图：

　　实验要求:

　　实验要求不一样
　　实验代码:
　　Router 0
　　Router#config
　　Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any
　　允许这个ip访问互联网任何地址
　　Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80
　　Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
　　Router(config)#intterface serial 3/0
　　Router(config)#ip access-group 100 out
　　Router#show access-lists  查看访问控制列表

　　实验验证：

　　四.
　　使用ACL保护路由器的安全
　　拓扑图：

　　实验要求：
　　网络中的路由器和计算机已经配置了ip地址和路由在R0上定义标准acl实现以下功能
　　1.只允许IJG部门的计算机能够telnet路由器R0
　　telnet密码是hanlg   enbable密码是todd
　　实验代码:
　　Router 0
　　Router#config t
　　Router(config)#line vty 0 15
　　Router(config)#password aaa
　　Router(config)#login
　　创建标准访问列表
　　Router(config)#access-list 10 permit 192.168.1.3 0.0.0.0
　　Router(config)#line vty 0 15
　　Router(config)#access-class 10 in
　　将ACL绑到telnet接口
　　Router(config)#access-group 10 in    不一样不要搞错了
　　将ACL绑到物理接口
　　实验验证：

　　实验总结：
　　1.标准IP访问列表只对源IP地址进行过滤。
　　2.扩展访问控制列表不仅过滤源IP地址，还可以对目的IP地址、源端口、目的端口进行过滤
　　3.尽量把扩展ACL应用在距离要拒绝通信流量的来源最近的地方，以减少不必要的通信流量。
　　4.最好把标准的ACL应用在离目的地最近的地方
　　5.标准的ACL根据数据包的源IP地址来允许或拒绝数据包。
　　6.当配置访问控制列表时，顺序很重要。