网络工程师Day4--实验3-1 配置ACL过滤企业数据_小梁L同学的博客-程序员秘密

技术标签: 网络工程师  

实验3-1 配置ACL过滤企业数据

学习目标

掌握高级ACL的配置方法

掌握ACL在接口下的应用方法

拓扑图

在这里插入图片描述

场景

企业部署了三个网络,其中R2连接的是公司总部网络,R1和R3分别为两个不同分支网络的设备,这三台路由器通过广域网相连。你需要控制员工使用Telnet和FTP服务的权限,R1所在分支的员工只允许访问公司总部网络中的Telnet服务器,R3所在分支的员工只允许访问FTP服务器。

操作步骤

步骤一 实验环境准备

S1

[S1]vlan 4
[S1-vlan4]
[S1-vlan4]quit
[S1]un in en
Info: Information center is disabled.
[S1]int vlan 4
[S1-Vlanif4]ip add 10.0.4.254 24

S2

[S2]un in en
Info: Information center is disabled.
[S2]vlan 6
[S2-vlan6]quit
[S2]int vlan 6
[S2-Vlanif6]ip add 10.0.6.254 24
[S2-Vlanif6]quit

步骤二 配置IP地址

R1

   interface GigabitEthernet0/0/0
   ip address 10.0.13.1 255.255.255.0

R2

   interface GigabitEthernet0/0/0
 ip address 10.0.13.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 10.0.4.2 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 10.0.6.2 255.255.255.0




R3

 interface GigabitEthernet0/0/0
 ip address 10.0.13.3 255.255.255.0

配置S1和S2连接路由器的端口为Trunk端口,并通过修改PVID使物理端口加入三层VLANIF逻辑接口。

S1

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk pvid vlan 4
 port trunk allow-pass vlan 4


S2

 interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk pvid vlan 6
 port trunk allow-pass vlan 2 to 4094

配置OSPF使网络互通

R1

   ospf 1 router-id 1.1.1.1
 area 0.0.0.0
  network 10.0.13.0 0.0.0.255

R2

  ospf 1 router-id 2.2.2.2
 area 0.0.0.0
  network 10.0.13.0 0.0.0.255
  network 10.0.4.0 0.0.0.255
  network 10.0.6.0 0.0.0.255


R3

ospf 1 router-id 3.3.3.3
 area 0.0.0.0
  network 10.0.13.0 0.0.0.255

在S1和S2上配置缺省静态路由,指定下一跳为各自连接的路由器网关

[S1]ip route-static 0.0.0.0 0.0.0.0 10.0.4.2
[S2]ip route-static 0.0.0.0 0.0.0.0 10.0.6.2

这里使用R3PingR1

网络出现环路

 Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=245 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=247 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=247 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=247 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=247 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=249 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=249 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=3 ttl=249 time=1110 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=3 ttl=249 time=1110 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=249 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=251 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=3 ttl=251 time=1110 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=3 ttl=251 time=1110 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=251 time=1690 ms (DUP!)
Reply from 10.0.13.1: bytes=56 Sequence=2 ttl=253 time=1690 ms (DUP!)

将R2的G0/0/0接口shutdown后环路消失。

步骤三 配置ACL过滤报文

将S1配置成Telnet服务器

[S1]telnet server enable
Info: The Telnet server has been enabled.
[S1]user-interface vty 0 4
[S1-ui-vty0-4]protocol inbound all
[S1-ui-vty0-4]aut	
[S1-ui-vty0-4]authentication-mode password
[S1-ui-vty0-4]set au	
[S1-ui-vty0-4]set authentication pass	
[S1-ui-vty0-4]set authentication password cip	
[S1-ui-vty0-4]set authentication password cipher huawei123

将S2配置成FTP服务器

 [S2]ftp server enable
Info: Succeeded in starting the FTP server.
[S2]aaa
[S2-aaa]local-user huawei password cipher huawei123
Info: Add a new user.
[S2-aaa]
[S2-aaa]
[S2-aaa]local-user huawei priv	
[S2-aaa]local-user huawei privilege l	
[S2-aaa]local-user huawei privilege level 3
[S2-aaa]loc	
[S2-aaa]local-user huawei service-ty	
[S2-aaa]local-user huawei service-type ftp
[S2-aaa]local-user huawei ftp-dire	
[S2-aaa]local-user huawei ftp-directory flash:/

在R2上配置ACL,只允许R1访问Telnet服务器,只允许R3访问FTP服务器

R2

ACL's step is 5
 rule 5 permit 23 source 10.0.13.1 0 destination 10.0.4.254 0 (0 times matched)
 rule 10 permit 22 source 10.0.13.2 0 destination 10.0.6.254 0 (0 times matched)
 rule 15 permit ospf (0 times matched)
 rule 20 deny ip (0 times matched)

在R2的G0/0/0接口上应用ACL

似乎在普通的ROUTER上不能将ACL应用到接口上。

附加练习:分析并验证

为什么FTP要求ACL定义两个端口

默认情况下FTP协议使用TCP端口中的 20和21这两个端口,其中20用于传输数据,21用于传输控制信息。
但是,是否使用20作为传输数据的端口与FTP使用的传输模式有关,如果采用主动模式,那么数据传输端口就是20;如果采用被动模式,则具体最终使用哪个端口要服务器端和客户端协商决定。

应在源端网络还是目标网络配置基本ACL和高级ACL为什么

基本ACL放置在目的端的路由器
高级ACL放置在源端的路由器

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/100047894

智能推荐

iOS: NSNotificationCenter的方法postNotificationName:object:userInfo:_alisa200920的博客-程序员秘密

- (void)postNotificationName:(NSString *)notificationName object:(id)notificationSender userInfo:(NSDictionary *)userInfo

【Python】基于人脸识别的智能考勤系统(Pyqt5+MySQL+Opencv) [PC端部分-已附源码]_公司人脸识别签到系统源码_阿汪先生的博客-程序员秘密

【Python】基于人脸识别的考勤系统 [PC端部分]一、项目简介本项目编程语言Python3.6,编程工具pycharm,其他工具QT Designer、Navicat,表单信息保存在本地MySQL数据库中,人脸识别算法主要用的OpenCV。目前,已实现以下功能:--------------------------------------------------------------------一、【管理系统主界面】1、管理系统主界面实现相对布局。(一)输入部分1、考勤班级:限制输入

freebsd12 安装gnome3图形界面_freebsd12图形界面_sayang_shao的博客-程序员秘密

1、准备工作 注:由于我是在实体机上做的所以没有提供截图。 也可以访问官方文档进行安装:https://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/x11-wm.html已经安装完Freebsd12系统 可以联网2、开始安装pkg更新 #pkg update安装显卡驱动(本机为int...

ibm笔记本修复计算机开机按,联想thinkpad重装系统按什么键_联想thinkpad电脑重装系统按哪个键-win7之家..._肥西老母鸡的博客-程序员秘密

很多用户在遇到一些系统问题的时候,都会重装系统来解决,现在的电脑都支持从快捷键选择U盘启动从而重装系统,但是不同机型快捷键可能不同,比如联想thinkpad重装系统按什么键呢?大部分是f12,接下来给大家分享一下联想thinkpad电脑重装系统按哪个键吧。所需工具:最新uefi启动u盘制作步骤详解(UEFI/Legacy双模式)方法一:U盘启动快捷键1、在联想电脑上插入U盘启动盘,台式和笔记本均可...

grid布局浏览器兼容_CSS Grid 网格布局教程_喵羽的博客-程序员秘密

一、概述网格布局(Grid)是最强大的 CSS 布局方案。它将网页划分成一个个网格,可以任意组合不同的网格,做出各种各样的布局。以前,只能通过复杂的 CSS 框架达到的效果,现在浏览器内置了。上图这样的布局,就是 Grid 布局的拿手好戏。Grid 布局与 Flex 布局有一定的相似性,都可以指定容器内部多个项目的位置。但是,它们也存在重大区别。Flex 布局是轴线布局,只能指定"项目"针对轴线的...

Duktape:一个新的小巧的超精简可嵌入式JavaScript引擎_djyos的博客-程序员秘密

原文链接:http://ourjs.com/detail/duktape-%E4%B8%80%E4%B8%AA%E6%96%B0%E7%9A%84%E5%B0%8F%E5%B7%A7%E7%9A%84%E8%B6%85%E7%B2%BE%E7%AE%80%E5%8F%AF%E5%B5%8C%E5%85%A5%E5%BC%8Fjavascript%E5%BC%95%E6%93%8E

随便推点

图-最短路径—Dijkstra算法和Floyd算法_凌凌小博客的博客-程序员秘密

一、Dijkstra算法1.定义概览:单源最短路径算法Dijkstra(迪杰斯特拉)算法是典型的单源最短路径算法,用于计算一个节点到其他所有节点的最短路径。主要特点是以起始点为中心向外层层扩展,直到扩展到终点为止。Dijkstra算法是很有代表性的最短路径算法,算法使用了广度优先搜索解决赋权有向图或者无向图的单源最短路径问题,算法最终得到一个最短路径树。该算法常用于路由算法或者作为其他图算...

移动端pdf预览_移动端预览pdf_我姓王的博客-程序员秘密

移动端pdf预览功能最近开发移动端项目,项目中有预览pdf功能,pc端与iOS可正常预览,但安卓不可以直接预览,需要下载。1、使用到了react-pdf插件,插件地址https://github.com/wojtekmaj/react-pdf2、import React, { useState } from 'react';import { Document, Page } from 'react-pdf';function MyApp() { const [numPages, setN

状态、振荡(时钟)、机器、指令周期_什么是拍、状态、机器周期和指令周期?若晶振频率为6mhz、8mhz时,一个机器周期_千样的博客-程序员秘密

1、节拍与状态周期时钟发生器是一个2分频的触发器电路,它将振荡器的信号频率fOSC除以2,向CPU提供两相时钟信号P1和P2。 时钟信号的周期称为机器状态周期S(STATE),是振荡周期的2倍。 在每个时钟周期(即机器状态周期S)的前半周期,相位1(P1)信号有效,在每个时钟周期的后半周期,相位2(P2,节拍2)信号有效。 每个时钟周期(以后常称状态S)有两个节拍(相)P1和P2,CPU就以两相时钟P1和P2为基本节拍指挥STC89C52单片机各个部件协调地工作。2、机器周期和指令周期机器周

数据库英语单词_英语单词数据库_有点懒的懒洋洋的博客-程序员秘密

1、primary:主要的2、modify:修改3、alter:改变4、change:改变5、column:纵队,列6、between:在......之间7、like:喜欢,像8、database:数据库9、table:桌子,制表10、update:更新,校正11、select:挑选12、drop:落下13、delete:删除14、check:检查,核实15、default:违约,缺席;系统默认值...

[Git] 获取指定的历史版本代码_weixin_34270606的博客-程序员秘密

首先 ,把项目 clone 到其他文件夹下git clone [email protected]:skyming/BMAdScrollView.git然后查看指定历史版本 tree 的 SHAcheckout 即可,哎,程序员,需要什么学什么。。。git checkout b0362a895d39061c0bc6f05c575af47de1b3f702然后就顺利切...

Failed to resolve: com.android.support:appcompat-v7:28 问题解决_luoj_616的博客-程序员秘密

dependencies { compile fileTree(dir: 'libs', include: ['*.jar']) androidTestCompile('com.android.support.test.espresso:espresso-core:2.2.2', { exclude group: 'com.android.support', mo...

推荐文章

热门文章

相关标签