本文主要是介绍华三(H3C)模拟器配置ACL实验,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
ACL是什么
Access Controll List(访问控制列表):通过配置对报文的匹配规则和处理操作来实现包过滤的功能。对端口进行配置,对端口的数据包按指定方向进行过滤。
主要功能:
- 阻止非法用户访问
- 流量控制
怎么用
分析问题---规划网络---定义规则----应用规则于指定端口
一些命令:
/**定义规则**/
time-range timename timestart to timeend //定义时间段
acl basic 2000 //创建基本acl,范围在2000~2999
rule 1 deny source any time-range timename //定义一条规则1拒绝时间段timename中任何源访问/**应用规则**/
interface GigabitEthernet 0/1 //进入要应用acl的端口
packet-filter 2000 inbound/outbound //包过滤,将acl编号为2000规则绑定在端口,inbound/outbound根据实际场景选择/**高级acl**/
acl basic 2000 //高级acl,范围在3000~3999
rule 1 deny source ip 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //定义一条规则1拒绝源网络1.0向目的网络2.0访问
rule 2 deny source ip 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 //可定义多个规则,成为列表
interface GigabitEthernet 0/1
packet-filter 2000 inbound/outbound /**验证端口**/
int g x/x
display this //可查看该端口下所有配置 实验要求:
(1) 在上班时间(周一到周五的8:00-18:00)不允许访问外网;
(2) 人事部上班时间(周一到周五的8:00-18:00)不能访问财务部;
(3) 人事部、销售部、财务部在不同的广播域,但相互之间可以相互通信;
(4) 销售部不能访问视频服务器。
拓扑图:
命令
1.配置ip
2.配置acl
设置时间段timeacl
设置基本acl 应用于相应端口
说明:为5/1端口使用inbound也可以替换为:为其他部门所对应的所有端口使用outbound,从数据包发送的端口拦截,减少流量损失。此处为了方便使用inbound
设置高级acl 应用于相应端口并查看
说明:此处也可将下面的规则应用于3005,命名为规则2,并应用于相应端口
3010
验证:
销售部不能ping通视频服务器
各部门:(以人事部为例)通
工作时间:
部门都不能ping通外网
人事部不能ping通财务部
所思
之前做实验一直做不对,该通的不通,不该通的通了,后来查资料发现是对inbound和outbound理解有问题。
inbound或outbound是相对于路由器的端口而言,inbound表示从对进入该端口的数据包进行过滤,不考虑来源于哪,只考虑进入此端口的方向;同理,outbound是对从该端口出去的数据包进行过滤。
流量控制功能的实现就在于inbound和outbound的使用,从数据包的出口进行拦截和从目的地址的端口进行拦截,明显前者拦截从根源控制了数据包的流量。
这篇关于华三(H3C)模拟器配置ACL实验的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
