设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 1378|回复: 0

[经验分享] 华为 配置ACL-TMAC严敏的博客

[复制链接]
woyoudn

尚未签到
发表于 2018-7-23 06:12:00 | 显示全部楼层 |阅读模式
  实验:
DSC0000.jpg             DSC0001.jpg

  实验1:
  pc1 pc2不同 其他全通:
  思路及步骤:
  1.首先保证全网互通
  1.1配置AR1 的0端口ip:192.168.10.254 255.255.255.0
  2端口ip:192.168.12.1 255.255.255.0
  配置静态路由:
  ip route-static 192.168.20.0 255.255.255.0 192.168.12.2
DSC0002.jpg

  1.2配置AR2的0端口ip:192.168.20.254 255.255.255.0
  2端口ip:192.168.12.2
  配置静态路由:
  ip route-static 192.168.10.0 255.255.255.0 192.168.12.1
DSC0003.jpg

  此时个pc机皆可互ping通
  2.在AR2的0端口 创建ACL 3000,拒绝pc2访问pc1 配置如下:
  acl 3000
  rule 5 deny icmp sourse 192.168.20.2 0.0.0.0 destiation
  192.168.10.1 0.0.0.0
DSC0004.jpg

  在0端口下启动:
  interface g0/0/0
  traffic-filter inbound acl 3000
DSC0005.jpg

  3.配置:
  display acl 3000   (查看其配置)
DSC0006.jpg

  4.此时 pc2与pc1机ping不同 但各自与其他pc机可以ping通
  pc2:
DSC0007.jpg

  pc1:
DSC0008.jpg

  =========================================================================================================
  实验2:
  pc4和pc5 可以全网互通, 其他主机全不通:
  思路及步骤:
  1.在实验1的基础上进行
  2.在AR2的0端口 创建ACL 命名为only pc4-5 (配置先允许 后拒绝)
  (x 默认为5 以5的倍数递增,也可手动输入,其他红色部分可以不输入)
  acl name only pc4-5
  rule x permit ip sourse 192.168.20.3 0.0.0.0 destination any
  rule x permit ip sourse 192.168.20.3 0.0.0.0 destination any
  rule x deny ip souse any destination any
DSC0009.jpg

  3. 在0端口下启动:
  interface g0/0/0
  traffic-filter outbound acl onlypc4-5
DSC00010.jpg

  4.配置:
  display acl 3999 (查看其配置)

  5.        此时 pc4与pc5机ping其他pc机可以ping通,
  ========================================================================================================================================
  重点:
  ACL:access control list ,访问  控制  列表
  -作用:
  匹配感兴趣的流量。
  -实现:
  #规则
  #动作(允许/拒绝)
  #事件
  -表示:

  #>  # name
  -类型:
  #标准ACL/基本ACL

  >  name
  #扩展ACL/高级ACL

  >  name
  --------------------------------------------------------------------
  ACL的配置思路:
  0、确保原有数据的连通性(基于现网需要来确定);
  在没有实施ACL之前,PC-1 与 PC-2 之间是互通的;
  1、查看设备上已经存在的ACL
  [R1] display acl [2000] | all
  2、创建ACL
  [R1] acl 2000 [match-order  {config} | {auto} ]
  [R1-acl-basic-2000] rule [id] deny  source 192.168.10.1 0.0.0.0
  3、调用ACL
  [R1]interface gi0/0/0
  [R1-gi0/0/0]tranffic-filter inbound acl 2000
  4、验证、测试、保存
  display acl 2000 //查看ACL的配置条目信息;
  display traffic-filter applied-record //查看ACL的调用信息;
  display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
  //查看特定端口上调用的ACL的使用信息;
  ping x.x.x.x
  save
  实验拓扑图:
  PC-1 ---> PC-2
  #研究清楚流量的转发路径(来回路径)
  &干掉去的流量
  &干掉回的流量
  #研究流量本身(特点+结构)
  L2 +  L3 + ICMP + FCS
  ip-acl
  L3
  source-ip  +  destination-ip
  基本ACL
  -仅仅关注IP头部中的 source-ip ;
  高级ACL
  -可以同时关注 source 和 destination ,
  并且,还可以关注 IP 头部后面的内容,
  比如 TCP/UDP
  ====================================================================
  删除ACL:
  1、正确的删除姿势
  #首先解除 ACL 调用关系
  Interface gi0/0/0
  undo traffic-filter inbound
  #其次删除 ACL 条目本身
  undo acl 2000
  #最后删除的最终结果
  2、当调用一个不存在的 ACL 时,表示的是允许所有;
  注意:
  1、同一个端口的,同一个方向,只能同时存在一个 ACL ;
  2、如果想更改端口上调用的 ACL ,必须:
  首先,删除端口上的 ACL 调用命令;
  再次,重新调用一个新的 ACL ;
  3、端口上的 ACL ,不允许直接覆盖;
  4、华为中的ACL,没有匹配住的流量,默认是允许的;
  5、基本ACL/标准ACL,强烈建议调用在“距离目标设备”近的地方;
  --------------------------------------------------------------------
  3层ACL
  基本ACL
  数字ACL
  命名ACL
  高级ACL
  数字ACL
  命名ACL
  2层ACL
  ~~~~~~~~~~~~~~~~~~~~~
  1、命名的ACL在创建的时候,需要指定类型;
  2、在ACL中,如果不写 source 或者不写 destination ,则表示所有源或目标
  3、在配置ACL的过程中,如果在输入 source 或 destination 的时候,直接回车
  则代表“所有”;
  =================================================================
  R2:PC1-PC2不通,其他全部互通;
  1、创建ACL
  [R2]acl 3000
  [R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
  destination 192.168.10.1 0.0.0.0
  2、调用ACL
  [R2]interface gi0/0/0
  [R2-gi0/0/0]traffic-filter inbound acl 3000
  3、验证、测试、保存
  display acl 3000
  display traffic-filter applied-record
  PC2:
  ping 192.168.10.1 ,no
  ping 192.168.10.3 ,yes
  PC4/5:
  ping x.x.x.x , yes
  <R2>save
  R2:PC4/5与全网其他主机互通,其他流量全部不通;
  1、创建ACL
  [R2]acl name Only-PC4-5 advance
  [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
  [R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
  [R2-acl-advance-Only-PC4-5]rule 100 deny ip
  2、调用ACL
  [R2]interface gi0/0/0
  [R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-539836-1-1.html 上篇帖子: 华为S9300 交换机QOS配置 下篇帖子: 华为5700登录配置telnet和console
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表