华三(H3C)模拟器配置ACL实验

2024-03-23 01:30

本文主要是介绍华三(H3C)模拟器配置ACL实验,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

ACL是什么

 Access Controll List(访问控制列表):通过配置对报文的匹配规则和处理操作来实现包过滤的功能。对端口进行配置,对端口的数据包按指定方向进行过滤。

主要功能:

  1. 阻止非法用户访问
  2. 流量控制

怎么用

分析问题---规划网络---定义规则----应用规则于指定端口

一些命令:

/**定义规则**/
time-range timename timestart to timeend  //定义时间段
acl basic 2000   //创建基本acl,范围在2000~2999
rule 1 deny source any time-range timename  //定义一条规则1拒绝时间段timename中任何源访问/**应用规则**/
interface GigabitEthernet 0/1  //进入要应用acl的端口
packet-filter 2000 inbound/outbound   //包过滤,将acl编号为2000规则绑定在端口,inbound/outbound根据实际场景选择/**高级acl**/
acl basic 2000   //高级acl,范围在3000~3999
rule 1 deny source ip 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255  //定义一条规则1拒绝源网络1.0向目的网络2.0访问
rule 2 deny source ip 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255  //可定义多个规则,成为列表
interface GigabitEthernet 0/1  
packet-filter 2000 inbound/outbound   /**验证端口**/
int g x/x
display this  //可查看该端口下所有配置 

 实验要求:

(1) 在上班时间(周一到周五的8:00-18:00)不允许访问外网;

(2) 人事部上班时间(周一到周五的8:00-18:00)不能访问财务部;

(3) 人事部、销售部、财务部在不同的广播域,但相互之间可以相互通信;

(4) 销售部不能访问视频服务器。

拓扑图:6f8e561ae1114f439f9e6040d08724aa.png

命令

1.配置ip

d7fafbc89a6b40179a024c11f358d520.png

2.配置acl

设置时间段timeacl

 300a3c1afd624a19ac41fc1f8e849400.png

 设置基本acl 应用于相应端口93d1905b96014b1a89bf61fe2b06a719.png

 说明:为5/1端口使用inbound也可以替换为:为其他部门所对应的所有端口使用outbound,从数据包发送的端口拦截,减少流量损失。此处为了方便使用inbound

 设置高级acl 应用于相应端口并查看

5288f08f03c547e98f47043f34fdaabd.png

fc742d1374984842a5b7fb307fe17383.png

说明:此处也可将下面的规则应用于3005,命名为规则2,并应用于相应端口

 e3f8180c708343f8969083c8c58f2248.png3010

c246512f2b97452fbdae54b159fd1b2f.png

验证: 

销售部不能ping通视频服务器

5e1fab57a22b4273a80f0d30bd97490d.png

各部门:(以人事部为例)通

cd1a8fee3366499584402e534663f775.png

工作时间:

 部门都不能ping通外网

e697f9d4876d499db0459a3214538a29.png

人事部不能ping通财务部

822b7be5052b49c88214c495f0452543.png


所思

  之前做实验一直做不对,该通的不通,不该通的通了,后来查资料发现是对inbound和outbound理解有问题。

  inbound或outbound是相对于路由器的端口而言,inbound表示从对进入该端口的数据包进行过滤,不考虑来源于哪,只考虑进入此端口的方向;同理,outbound是对从该端口出去的数据包进行过滤。

  流量控制功能的实现就在于inbound和outbound的使用,从数据包的出口进行拦截和从目的地址的端口进行拦截,明显前者拦截从根源控制了数据包的流量。

这篇关于华三(H3C)模拟器配置ACL实验的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/836713

相关文章

SQL Server配置管理器无法打开的四种解决方法

《SQLServer配置管理器无法打开的四种解决方法》本文总结了SQLServer配置管理器无法打开的四种解决方法,文中通过图文示例介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的... 目录方法一:桌面图标进入方法二:运行窗口进入检查版本号对照表php方法三:查找文件路径方法四:检查 S

Linux中SSH服务配置的全面指南

《Linux中SSH服务配置的全面指南》作为网络安全工程师,SSH(SecureShell)服务的安全配置是我们日常工作中不可忽视的重要环节,本文将从基础配置到高级安全加固,全面解析SSH服务的各项参... 目录概述基础配置详解端口与监听设置主机密钥配置认证机制强化禁用密码认证禁止root直接登录实现双因素

嵌入式数据库SQLite 3配置使用讲解

《嵌入式数据库SQLite3配置使用讲解》本文强调嵌入式项目中SQLite3数据库的重要性,因其零配置、轻量级、跨平台及事务处理特性,可保障数据溯源与责任明确,详细讲解安装配置、基础语法及SQLit... 目录0、惨痛教训1、SQLite3环境配置(1)、下载安装SQLite库(2)、解压下载的文件(3)、

Linux如何快速检查服务器的硬件配置和性能指标

《Linux如何快速检查服务器的硬件配置和性能指标》在运维和开发工作中,我们经常需要快速检查Linux服务器的硬件配置和性能指标,本文将以CentOS为例,介绍如何通过命令行快速获取这些关键信息,... 目录引言一、查询CPU核心数编程(几C?)1. 使用 nproc(最简单)2. 使用 lscpu(详细信

Nginx 重写与重定向配置方法

《Nginx重写与重定向配置方法》Nginx重写与重定向区别:重写修改路径(客户端无感知),重定向跳转新URL(客户端感知),try_files检查文件/目录存在性,return301直接返回永久重... 目录一.try_files指令二.return指令三.rewrite指令区分重写与重定向重写: 请求

Nginx 配置跨域的实现及常见问题解决

《Nginx配置跨域的实现及常见问题解决》本文主要介绍了Nginx配置跨域的实现及常见问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来... 目录1. 跨域1.1 同源策略1.2 跨域资源共享(CORS)2. Nginx 配置跨域的场景2.1

gitlab安装及邮箱配置和常用使用方式

《gitlab安装及邮箱配置和常用使用方式》:本文主要介绍gitlab安装及邮箱配置和常用使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1.安装GitLab2.配置GitLab邮件服务3.GitLab的账号注册邮箱验证及其分组4.gitlab分支和标签的

MySQL MCP 服务器安装配置最佳实践

《MySQLMCP服务器安装配置最佳实践》本文介绍MySQLMCP服务器的安装配置方法,本文结合实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下... 目录mysql MCP 服务器安装配置指南简介功能特点安装方法数据库配置使用MCP Inspector进行调试开发指

Redis Cluster模式配置

《RedisCluster模式配置》:本文主要介绍RedisCluster模式配置,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录分片 一、分片的本质与核心价值二、分片实现方案对比 ‌三、分片算法详解1. ‌范围分片(顺序分片)‌2. ‌哈希分片3. ‌虚

SpringBoot项目配置logback-spring.xml屏蔽特定路径的日志

《SpringBoot项目配置logback-spring.xml屏蔽特定路径的日志》在SpringBoot项目中,使用logback-spring.xml配置屏蔽特定路径的日志有两种常用方式,文中的... 目录方案一:基础配置(直接关闭目标路径日志)方案二:结合 Spring Profile 按环境屏蔽关