华为ACL控制协议实现流量控制
2018-06-26 23:23
941 查看
一、网络拓扑:
二、实验内容:实现ACL控制流量的相关操作
三、实验步骤:
1、新建拓扑,添加三台路由器,两台PC机,并连线。
2、按照下图配置相关节点的IP地址,利用RIP协议配置路由器之间的动态路由
RIP配置命令如下:
[Huawei]rip 10
[Huawei-rip-10]version 2 //启用RIPV2
[Huawei-rip-10]network 192.168.1.0 //宣告网络进入RIP协议
[Huawei-rip-10]network 192.168.2.0 //宣告网络进入RIP协议
每个路由器的network都I写本路由接口的IP网段
3、配置ACL规则,使PC1不能访问PC2,网络中的其他节点PC1都能访问。配置ACL之前,先验证PC1与PC2能否ping通:
配置ACL命令如下:
[Huawei]acl 3000 //创建高级ACL条目 acl 3000
[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 destination 192
.168.4.1 0.0.0.0 //配置ACL 3000的规则,拒绝192.168.1.1访问192.168.4.1
[Huawei-acl-adv-3000]quit //退回系统视图
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //进入端口GigabitEthernet0/0/1调用acl 3000
再次验证主机PC1ping主机PC2,以及主机PC1ping PC2的网关
4、配置ACL规则,使AR3不能远程访问AR1和AR2,先在AR2和AR1上开启远程登录以及设置密码,验证AR3能否远程访问AR1和AR2
AR1命令如下:
[Huawei]user-interface vty 0 4 //进入远程登录配置界面
[Huawei-ui-vty0-4]authentication-mode password //配置验证模式为密码验证
Please configure the login password (maximum length 16):123 //设置远程登录密码为123
AR3远程访问命令:<Huawei>telnet 192.168.3.2
根据上如可知AR3可以远程登录到AR1和AR2,下面配置ACL规则,不允许AR3远程登录AR1和AR2。因为telent 访问时的源端口是随机的,而目标端口是固定的,所以要使AR3不能远程访问AR1和AR2,只能限制目标端口号tcp 23.另外每个路由器都有两个端口,所以需要限制目标IP为AR1和AR2上的接口IP,源IP为AR3上的两个接口IP。配置命令如下:
[Huawei]acl 3333
[Huawei-acl-adv-3333]rule 5 deny tcp source 192.168.1.254 0.0.0.0 destination 19
2.168.2.2 0.0.0.0 destination-port eq 23 //拒绝192.168.1.254访问192.168.2.2的TCP23号端口
[Huawei-acl-adv-3333]rule 10 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.2.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 15 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 20 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 25 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 30 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 35 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 40 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]quit //退回系统视图
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3333 //调用acl 3000
验证AR3通过192.168.2.1和192.168.1.254分别远程登录AR2和AR1的,结果如下:
通过上图可知,无论AR3通过哪个接口远程登录AR1和AR2都不能成功,再验证AR1和AR2能否互相远程登录
由图可知AR1和AR2可以远程登录,综上可知,以上的配置,成功阻止了AR3远程登录AR1和AR2,却没有影响AR1和AR2之间的互相远程登录。
二、实验内容:实现ACL控制流量的相关操作
三、实验步骤:
1、新建拓扑,添加三台路由器,两台PC机,并连线。
2、按照下图配置相关节点的IP地址,利用RIP协议配置路由器之间的动态路由
RIP配置命令如下:
[Huawei]rip 10
[Huawei-rip-10]version 2 //启用RIPV2
[Huawei-rip-10]network 192.168.1.0 //宣告网络进入RIP协议
[Huawei-rip-10]network 192.168.2.0 //宣告网络进入RIP协议
每个路由器的network都I写本路由接口的IP网段
3、配置ACL规则,使PC1不能访问PC2,网络中的其他节点PC1都能访问。配置ACL之前,先验证PC1与PC2能否ping通:
配置ACL命令如下:
[Huawei]acl 3000 //创建高级ACL条目 acl 3000
[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 destination 192
.168.4.1 0.0.0.0 //配置ACL 3000的规则,拒绝192.168.1.1访问192.168.4.1
[Huawei-acl-adv-3000]quit //退回系统视图
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //进入端口GigabitEthernet0/0/1调用acl 3000
再次验证主机PC1ping主机PC2,以及主机PC1ping PC2的网关
4、配置ACL规则,使AR3不能远程访问AR1和AR2,先在AR2和AR1上开启远程登录以及设置密码,验证AR3能否远程访问AR1和AR2
AR1命令如下:
[Huawei]user-interface vty 0 4 //进入远程登录配置界面
[Huawei-ui-vty0-4]authentication-mode password //配置验证模式为密码验证
Please configure the login password (maximum length 16):123 //设置远程登录密码为123
AR3远程访问命令:<Huawei>telnet 192.168.3.2
根据上如可知AR3可以远程登录到AR1和AR2,下面配置ACL规则,不允许AR3远程登录AR1和AR2。因为telent 访问时的源端口是随机的,而目标端口是固定的,所以要使AR3不能远程访问AR1和AR2,只能限制目标端口号tcp 23.另外每个路由器都有两个端口,所以需要限制目标IP为AR1和AR2上的接口IP,源IP为AR3上的两个接口IP。配置命令如下:
[Huawei]acl 3333
[Huawei-acl-adv-3333]rule 5 deny tcp source 192.168.1.254 0.0.0.0 destination 19
2.168.2.2 0.0.0.0 destination-port eq 23 //拒绝192.168.1.254访问192.168.2.2的TCP23号端口
[Huawei-acl-adv-3333]rule 10 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.2.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 15 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 20 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 25 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 30 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 35 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 40 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]quit //退回系统视图
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3333 //调用acl 3000
验证AR3通过192.168.2.1和192.168.1.254分别远程登录AR2和AR1的,结果如下:
通过上图可知,无论AR3通过哪个接口远程登录AR1和AR2都不能成功,再验证AR1和AR2能否互相远程登录
由图可知AR1和AR2可以远程登录,综上可知,以上的配置,成功阻止了AR3远程登录AR1和AR2,却没有影响AR1和AR2之间的互相远程登录。
相关文章推荐
- 华为三层交换机3526E下实现流量镜像和端口流量控制
- ACL 实现对某一列表内PC实现流量控制(路由器易可)
- 在Linux中实现流量控制
- 使用移动代理CMPP2.0,3.0协议实现短信发送-Java版,使用华为smproxy.jar包
- TCP/IP之TCP协议(3):流量控制(滑动窗口协议)
- 【网络协议】TCP的流量控制机制
- 扫描仪twain协议实现,可以实现简单控制
- 使用并发工具实现 RPC 调用流量控制
- 巧用Squid的ACL和访问列表实现高效访问控制
- TCP协议的滑动窗口具体是怎样控制流量的?
- 华为路由器 Qos ACL 流量控制
- TCP/IP之TCP协议(3):流量控制(滑动窗口协议)
- Squid代理--经典缓存代理服务器(实现正向代理配置、ACL各种访问控制、日志分析)
- Linux中用Coyote Linux实现流量控制
- Linux网络编程面试--流量控制和拥塞控制的实现机制
- 巧用Squid的ACL和访问列表实现高效访问控制 推荐
- 基于CENTOS5.4下的Squid代理服务器的计费与流量控制的实现(更新版本)
- 巧用Squid的ACL和访问列表实现高效访问控制
- TCP/IP之TCP协议(3):流量控制(滑动窗口协议)