访问控制列表典型配置案例
访问控制列表典型配置案例
1.4.1 高级访问控制列表配置案例
1. 组网需求
公司企业网通过switch的百兆端口实现各部门之间的互连。研发部门由ethernet2/1/1端口接入,财经部门的工资查询服务器地址为129.110.1.2。要求正确配置acl,限制研发部门在上班时间8:00至18:00访问工资服务器。
2. 组网图
3. 配置步骤
以下的配置,只列出了与acl配置相关的命令。
(1)定义上班时间段
# 定义8:00至18:00的周期时间段。
[h3c] time-range huawei-3com 8:00 to 18:00 working-day
(2)定义到工资服务器的acl
# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。
[h3c] acl name traffic-of-payserver advanced
# 定义到工资服务器的访问规则。
[h3c-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei-3com
(3)激活acl
# 将traffic-of-payserver的acl在研发部门接入的端口上激活。
[h3c-ethernet2/1/1] packet-filter inbound ip-group traffic-of-payserver
1.4.2 基本访问控制列表配置案例
1. 组网需求
通过基本访问控制列表,实现在每天8:00~18:00时间段内对源ip为10.1.1.1主机发出报文的过滤(该主机从交换机的ethernet2/1/1接入)。
2. 组网图
3. 配置步骤
以下的配置,只列出了与acl配置相关的命令。
(1)定义时间段
# 定义8:00~18:00时间段。
[h3c] time-range huawei-3com 8:00 to 18:00 daily
(2)定义源ip为10.1.1.1的acl
# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
[h3c] acl name traffic-of-host basic
# 定义源ip为10.1.1.1的访问规则。
[h3c-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei-3com
(3)激活acl
# 将traffic-of-host的acl激活。
[h3c-ethernet2/1/1] packet-filter inbound ip-group traffic-of-host
1.4.3 二层访问控制列表配置案例
1. 组网需求
通过二层访问控制列表,实现在每天8:00~18:00时间段内对源mac为00e0-fc01-0101、目的mac为00e0-fc01-0303的报文的过滤。(在交换机的ethernet2/1/1进行本项配置)
2. 组网图
3. 配置步骤
以下的配置,只列出了与acl配置相关的命令。
(1)定义时间段
# 定义8:00~18:00时间段。
[h3c] time-range huawei-3com 8:00 to 18:00 daily
(2)创建用户自定义流模板
[h3c] flow-template user-defined slot 2 ethernet-protocol smac 0-0-0 dmac 0-0-0
(3)定义源mac为00e0-fc01-0101、目的mac为00e0-fc01-0303的acl
# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[h3c] acl name traffic-of-link link
# 定义源mac为00e0-fc01-0101目的mac为00e0-fc01-0303的流分类规则。
[h3c-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei-3com
[h3c-acl-link-traffic-of-link] quit
(4)在端口下应用用户自定义流模板,并激活acl
# 在端口ethernet2/1/1下应用用户自定义流模板。
[h3c] interface ethernet2/1/1
[h3c-ethernet2/1/1] flow-template user-defined
# 将traffic-of-link的acl在端口下激活。
[h3c-ethernet2/1/1] packet-filter inbound link-group traffic-of-link
1.4.4 bt禁流配置实例
1. 组网需求
bittorrent(比特洪流,简称bt)是一种用来进行文件下载的共享软件,其特点是:下载的人越多,速度越快。bt下载大大降低了下载服务器的负荷,但也造成网络下载的数据量剧增,使得网络带宽被大量的bt下载流量占据,严重影响其它网络业务,由此产生了对bt流量进行有效控制的需求。
本配置任务要求通过配置合适的acl及其子规则,达到禁止bt数据流通过端口ge7/1/8的目的。
lsb1xp4系列单板不支持bt禁流配置。
后缀为da/db/dc的单板不支持bt禁流配置。
2. 组网图
3. 配置步骤
(1)定义用户自定义流模板
[h3c] flow-template user-defined slot 7 ip-protocol bt-flag sip 0.0.0.0 dport
(2)定义高级访问控制列表子规则
[h3c] acl number 3000
[h3c-acl-adv-3000] rule 0 deny tcp bt-flag
[h3c-acl-adv-3000] quit
(3)进入端口ge7/1/8,在端口下配置bt禁流
[h3c] interface gigabitethernet 7/1/8
[h3c-gigabitethernet7/1/8] flow-template user-defined
[h3c-gigabitethernet7/1/8] packet-filter inbound ip-group 3000 rule 0
H3C设备中访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
一、标准访问控制列表的格式:
标准访问控制列表是最简单的ACL。他的具体格式如下:
acl ACL号
//进入ACL设置界面
rule permit|deny source IP地址反向子网掩码
例如:rule deny source 192.168.1.1 0.0.0.0这句命令是将所有来自192.168.1.1地址的数据包丢弃。当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:rule deny source 192.168.1.0 0.0.0.255
//将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为华为3COM设备和CISCO一样规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
二、配置实例:
要想使标准ACL生效需要我们配置两方面的命令:
1.ACL自身的配置,即将详细的规则添加到ACL中。
2.宣告ACL,将设置好的ACL添加到相应的端口中。
例如路由器连接了二个网段,分别为172.16.4.0/23,172.16.3.0/23。在172.16.4.0/23网段中有一台服务器提供WWW服务,IP地址为172.16.4.12。
实例1:禁止172.16.4.0/23网段中除172.16.4.12这台计算机访问172.16.3.0/23的计算机。172.16.4.12可以正常访问172.16.3.0/23。
路由器配置命令:
acl 1
//设置ACL 1,并进入ACL设置模式
rule deny source any
//设置ACL,阻止其他一切IP地址进行通讯传输。
int e1
//进入E1端口。
firewall packet-filter 1 inbound
//将ACL 1宣告。
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。
知识链接
由于部分H3C的设备是默认添加了permit ANY的语句在每个ACL中,所以上面的rule deny source any这句命令可以必须添加的,否则设置的ACL将无法生效,所有数据包都会因为结尾的permit语句而正常转发出去。另外在路由器连接网络不多的情况下也可以在E0端口使用firewall packet-filter 1 outbound命令来宣告,宣告结果和上面最后两句命令效果一样。
实例2:禁止172.16.4.12这个计算机对172.16.3.0/23网段的访问,而172.16.4.0/23中的其他计算机可以正常访问。
路由器配置命令:
access-list 1
//设置ACL,进入ACL1设置界面。
rule deny source 172.16.4.12 0.0.0.0
//阻止172.16.4.13这台计算机访问。
rule permit source any
//设置ACL,容许其他地址的计算机进行通讯
int e1
//进入E1端口
firewall packet-filter 1 inbound
//将ACL1宣告,同理可以进入E0端口后使用firewall packet-filter 1 outbound来完成宣告。
配置完毕后除了172.16.4.12其他IP地址都可以通过路由器正常通讯,传输数据包。需要提醒一点的是默认情况下设备在ACL结尾添加了rule permit source any的语句,所以本例中可以不输入该语句,效果是一样的。
总结
标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
华为_MSR路由器_教育网双出口NAT服务器的典型配置
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.360docs.net/doc/5817251298.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
标准访问控制列表配置
13.标准访问列表的实现 一.实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二.实训器材及环境 1.安装有packet tracer5.0模拟软件的计算机。 2.搭建实验环境如下: 三.实训理论基础 1.访问列表概述 访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。 访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。 2.访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。 3.ACL的相关特性 每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。 ACL语句包括两个动作,一个是拒绝(deny)即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。 在路由选择进行以前,应用在接口进入方向的ACL起作用。 在路由选择决定以后,应用在接口离开方向的ACL起作用。 每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。 4.ACL转发的过程 5.IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配 符掩码为1的位所对应的IP地址位不必匹配。
ACL配置规范
ACL配置规范: ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.标准ACL只匹配源ip地址 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留 ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:XXX_YY_Z 各字段含义如下: ?XXX:所属部门名称单字的首拼音大写,如委办局则为WBJ; ?YY:区分不同的部门,如果为VLAN_10使用,则XX字段为10。 ?Z:在默认情况下是数字0,如果遇到XXX_XX都一致时,X就从1往上加。 ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:XXX_YYYYY ?XXX:所属部门名称首字的首拼音大写 ?YYYYY:所实现的功能,最多20个字符 举例说明:委办局的不能访问管理平台的ACL,则描述为 WBJ_JinZhiFangWenGuanLiPingTai ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下: ?启用ACL时,必须按照规划的ACL,编写Number、Name和description;
联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
访问控制列表原理及配置技巧(acl)
1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。
3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表
CISCO 策略路由(PBR)配置实例
CISCO 策略路由(PBR)配置实例 时间:2010-02-17 22:56来源:未知作者:admin 点击:142次 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。一般来说,PBR是通过路由映射来配置的。看个详细配置实例,你 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。一般来说,PBR是通过路由映射来配置的。 看个详细配置实例,你会更加明白: 定义了两个访问列表:10和20,经过配置使来自网络192.168.1.0/24的数据包的下一跳地址改为192.168.100.1;使来自 192.168.2.0/24的数据包的下一跳地址改为192.168.100.2.其他源始发的数据包正常路由。 命令如下: My3377(config)#access-list 10 permit 192.168.1.0 //用访问控制列表先抓取路由 My3377(config)#access-list 20 permit 192.168.2.0 My3377(config)#route-map nexthop permit 10 //起个名字 My3377(config-route-map)#match ip address 10 //匹配一个列表 My3377(config-route-map)#set ip next-hop 192.168.100.1 //设置一个策略 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 20 My3377(config-route-map)#match ip address 20 My3377(config-route-map)#set ip next-hop 192.168.100.2 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 30 My3377(config)#int s2/1
ACL访问控制列表配置案例
访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route
R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
ACL访问控制列表配置要点
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
H3C策略路由配置及实例
H3C策略路由配置及实例 2010-07-19 09:21 基于策略路由负载分担应用指导介绍 特性简介 目前网吧对网络的可靠性和稳定性要求越来越高,一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。当两条线路都正常时为了减少一条线路流量压力,将流量平均分配到另外一条线路,这样提高了网络速度。当一条链路出现故障接口DOWN掉时,系统自动将流量全部转到另一条线路转发,这样提高了网络的稳定性、可靠性。满足网吧对业务要求不能中断这种需求,确保承载的业务不受影响。 使用指南 使用场合 本特性可以用在双链路的组网环境内,两条链路分担流量。保证了网络的可靠性、稳定性。 配置指南 本指南以18-22-8产品为例,此产品有2个WAN接口。ethernet2/0、ethernet3/0互为备份。 可以通过以下几个配置步骤实现本特性: 1) 配置2个WAN接口是以太链路,本案例中以以太网直连连接方式为例; 2) 配置静态路由,并设置相同的优先级; 3) 配置策略路由将流量平均分配到2条链路上。 2 注意事项 两条路由的优先级相同。 配置策略路由地址为偶数走wan1,地址为奇数走wan2。 策略路由的优先级高于路由表中的优先级。只有策略路由所使用的接口出现down后,路由比表中配置的路由才起作用。 3 配置举例 组网需求 图1为2条链路负载分担的典型组网。 路由器以太网口ETH2/0连接到ISP1,网络地址为142.1.1.0/30,以太网口ETH3/0连接到ISP2,网络地址为162.1.1.0/30;以太网口ETH1/0连接到网吧局域网,私网IP网络地址为192.168.1.0/24。
华为策略路由配置实例
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
三层交换机配置ACL(访问控制列表)
三层交换机配置ACL(访问控制列表) 说明:书本上讲述的ACL主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。ACL访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。 试验拓扑介绍: 三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 192.168.20.10 VLAN 192.168.20.1 PC2 192.168.30.20 VLAN 192.168.30.1 PC3 192.168.40.30 VLAN 192.168.40.1 PC4 192.168.50.40 VLAN 192.168.50.1 F0/1 192.168.70.2 (开启路由功能) 路由器上配置 F0/0 192.168.60.1 PC5 192.168.60.50 F0/1 192.168.70.1 试验步骤: 1、在二层交换机上把相应的PC加入VLAN 查看交换机Switch0 Switch0(config)#show run ! interface FastEthernet0/1
switchport access vlan 2 ! interface FastEthernet0/2 switchport access vlan 3 ! 查看交换机Switch1 Switch1#show run ! interface FastEthernet0/3 switchport access vlan 4 ! interface FastEthernet0/4 switchport access vlan 5 ! 2、在三层交换机上配置相应的本地VALN Switch(config)#inter vl 2 Switch(config-if)#ip add 192.168.20.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 3 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 4 Switch(config-if)#ip add 192.168.40.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 5 Switch(config-if)#ip add 192.168.50.1 255.255.255.0 Switch(config-if)#no shut Switch(config-if)#exi 在接口itnerface f0/1上开启路由接口 Switch(config)#inter f0/1 Switch(config-if)#no switchport 3、在二层交换机和三层交换机之间开启中继链路 4、在路由器和三层交换机上配置动态路由协议RIP Router(config)#router rip Router(config)#network 192.168.60.0 Router(config)# network 192.168.70.0 三层交换机上配置 Switch(config)#router rip Switch(config-router)#ne Switch(config-router)#network 192.168.70.0 Switch(config-router)#network 192.168.20.0 Switch(config-router)#network 192.168.30.0 Switch(config-router)#network 192.168.40.0 Switch(config-router)#network 192.168.50.0 Switch(config-router)# 5、验证各PC互通 PC>ping 192.168.30.20 Pinging 192.168.30.20 with 32 bytes of data: Request timed out.
标准访问控制列表配置命令
标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write
路由协议-ip策略路由典型配置
5.5IP策略路由典型配置 5.5.1策略路由基本配置 『需求』 在Router上做策略路由,从40.1.1.0/25来的报文送往S0口,从40.1.1.128/25来的报文送往S1。 【Router】 当前路由器提示视图依次输入的配置命令,重要的命令红色突出显示简单说明 ! 适用版本:vrp1.74/1.44 [Router] acl 1 定义acl1 [Router-acl-1] rule normal permit source 40.1.1.0 0.0.0.127 允许40.1.1.0/25源地址网段 [Router-acl-1] rule normal deny source any 禁止其他任何网段 ! [Router] acl 2 定义acl2 [Router-acl-2] rule normal permit source 40.1.1.128 0.0.0.127 允许40.1.1.128/25源地址 网段 [Router-acl-2] rule normal deny source any 禁止其他任何网段 ! [Router] interface Ethernet0 进入以太0口[Router-ethernet0] ip address 40.1.1.1 255.255.255.0 配置ip地址[Router-ethernet0] ip policy route-policy aaa 应用aaa策略 ! [Router] interface Serial0 进入串口0口[Router-Serial0] link-protocol ppp 封装ppp链路层协议
实验七 标准IP访问控制列表配置
实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,
配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
ACL配置规范
ACL实施配置指导 ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.2.标准ACL只匹配源ip地址, 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下:
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:AAA_BB_N 各字段含义如下: ?AAA:所属学校名称单字的首拼音大写,如西安工业大学则为XAGYDX; ?BB:区分不同的部门,如果为校内使用,则BB字段为XN。如果是校外使用,则BB字段为XW。如果是管理节点使用,则BB字段为GL。如果是 测试用户使用,则BB字段为CS; ?N:在默认情况下是数字1,如果遇到AAA_BB都一致时,N就从1往上加。ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:Aaa-Bbb_TYCE ?A:A所属学校名称首字的首拼音大写,a为首字拼音的小写; ?B:所属部门名称第二字的拼音大写,b为其他字拼音的小写: ?TYCE:通用策略。 举例说明:财务部的ACL,则描述为XAGYDX-CWB ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下:
配置路由器的ACL访问控制列表
在路由器上实现访问控制列表 试验描述: 实验目的和要求: 1.掌握在路由器上配置ACL的方法。 2.对路由器上已配置的ACL进行测试。 试验环境准备(GNS3):3台路由器互联,拓扑图如下: 3. 试验任务:(1)配制标准访问控制列表;(2)配制扩展访问控制列表;(3)配制名称访问控制列表;(4)配制控制telnet访问。 4. 试验容:OSPF,ACL,telnet
试验步骤: 1.运行模拟器,按照如下拓扑图进行部署。 2.R2路由器的基本配置。 3.R2路由器的基本配置。 4.R2路由器的基本配置
5.R1 ping R2 6.R2 ping R3 7.R1 ping R3,要是能通就活见鬼了! 8.现在在3台路由器上配置单区域OSPF,首先R1。
9.R2配置单区域OSPF。 10.R3配置单区域OSPF。 11.R3 ping R1,使用扩展ping的方式。应该可以ping通了。
12.R1ping R3,使用扩展ping的方式。应该可以ping通了。 13.在路由器R3上查看路由表时发现了一个10.1.1.1/32的主机地址条目,带有32位掩码。 这种情况最好加以避免,因为一旦在一个网络里路由器上所有的条目都出现在路由表上的话,路由器将使用大量的资源处理这些条目,太浪费了。本试验中,这个主机条目的出现是因为R1使用了一个loopback接口,虽然是逻辑接口,如果在OSPF路由器上使用这种接口,其它运行OSPF的路由器学习到这个路由器的时候就会显示出一个主机条目。消除这一现象可以通过将该网络设置为点到点即可。分别在R1和R3上设置。 14.R1设置点到点。