华为企业交换机ACL设置案例分析

DG25113 2023-08-14 625

通信网络

624人已加入

描述

实验目的

模拟器有三台主机PC，是PC1,PC2,PC3我们分别使用基本ACL高级ACL和二层ACL来实现一些访问控制，用户可自行体会其中的差别

实验拓补

交换机

前半段

开始前，我们首先让三台PC获取IP地址，方便后面的实验

system-view //进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable 
Info: Information center is disabled.
[Huawei]sysname CORE //命名设备
[CORE]vlan batch 10 20 30//创建三个vlan，10 20 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[CORE]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.

[CORE]interface Vlanif 10 //进入vlanif10
[CORE-Vlanif10]ip address 192.168.10.254 24 //配置IP地址
[CORE-Vlanif10]dhcp select interface //dhcp的方式是基于接口
[CORE-Vlanif10]quit 

[CORE]interface Vlanif 20
[CORE-Vlanif20]ip address 192.168.20.254 24
[CORE-Vlanif20]dhcp select interface 
[CORE-Vlanif20]quit 

[CORE]interface Vlanif 30
[CORE-Vlanif30]ip address  192.168.30.254 24 
[CORE-Vlanif30]dhcp select interface  
[CORE-Vlanif30]quit 
 
[CORE]interface GigabitEthernet 0/0/1
[CORE-GigabitEthernet0/0/1]port link-type access //设置链路类型为ACCESS
[CORE-GigabitEthernet0/0/1]port default vlan 10 //划分至vlan10
[CORE-GigabitEthernet0/0/1]quit 

[CORE]interface GigabitEthernet 0/0/2 
[CORE-GigabitEthernet0/0/2]port link-type access 
[CORE-GigabitEthernet0/0/2]port default vlan 20
[CORE-GigabitEthernet0/0/2]quit 

[CORE]interface GigabitEthernet 0/0/3 
[CORE-GigabitEthernet0/0/3]port link-type access 
[CORE-GigabitEthernet0/0/3]port default vlan 30
[CORE-GigabitEthernet0/0/3]quit 
[CORE]

基本ACL（2000-2999）

实验目的：禁止192.168.30.253的IP地址的主机访问192.168.10.253的主机

[CORE]acl 2000//创建基本ACL，编号是2000
[CORE-acl-basic-2000]step 10 //设置步长为10 
[CORE-acl-basic-2000]ru deny source 192.168.30.253 0.0.0.0 //拒绝192.168.30.253的IP报文
[CORE-acl-basic-2000]quit 
[CORE]interface GigabitEthernet 0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //你G0/0/1的出端口调用ACL2000

高级ACL（3000-3999）

实验目的：禁止IP地址是192.168.30.0的网段访问192.168.10.253的主机

[CORE]acl 3000
[CORE-acl-adv-3000]rule deny ip source 192.168.30.0 0.0.0.255 destination 192.16
8.10.253 0.0.0.0 
[CORE-acl-adv-3000]quit 

[CORE]interface GigabitEthernet 0/0/1 
[CORE-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

二层ACL（4000-4999）

实验目的：禁止MAC地址是5489-98d2-1bdd的主机访问MAC地址为5489-9834-1372的主机

注：这里的设计有问题，在三层交换机上，只有两台主机在同一vlan下才可以实现，不过思路还是这个思路。

这里发生了个有趣的事情，ENSP模拟器宛如ZZ一样，怎么都实现不了想要的效果，还以为配置有问题，重新增加交换机和主机测试就OK了，所以模拟器还是有很多潜在的BUG的。

哈哈，其实是我错了，我要留下这段话。

[CORE]acl 4001
[CORE-acl-L2-4001]rule  deny source-mac 5489-98d2-1bdd destination-mac 5489-9834
-1372
[CORE-acl-L2-4001]quit 

[CORE]interface GigabitEthernet 0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filter outbound acl 4001
[CORE-GigabitEthernet0/0/1]quit

更正：天呐！这里犯了一个错误，其实这段代码是实现不了互相禁止的，因为vlan10和vlan30属于三层IP转发，三层交换机上，如果是同一vlan下是可以用ACL4000实现的（同一vlan转发不涉及三层转发）。所以有三层交换机的时候我们尽量用高级ACL来做（3000-3999）.

常用ACL

分类	规则定义描述	编号
基本ACL	仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。	2000-2999
高级ACL	既可使用IPv4报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。	3000-3999
二层ACL	使用报文的以太网帧头信息来定义规则，如根据源MAC（Media Access Control）地址、目的MAC地址、二层协议类型等。	4000-4999
用户自定义ACL	使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则，即以报文头为基准，指定从报文的第几个字节开始与字符串掩码进行“与”操作，并将提取出的字符串与用户自定义的字符串进行比较，从而过滤出相匹配的报文。	5000-5999
用户ACL	既可使用IPv4报文的源IP地址或源UCL（User Control List）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。	6000-6999
基本ACL6	可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则	2000-2999
高级ACL6	可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。	3000-3999

编辑：黄飞

打开APP阅读更多精彩内容