使用华为eNSP组网试验⑸-访问控制

这篇具有很好参考价值的文章主要介绍了使用华为eNSP组网试验⑸-访问控制。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  今天练习使用华为sNSP模拟网络设备上的访问控制,这样的操作我经常在华为的S7706、S5720、S5735或者H3C的S5500、S5130、S7706上进行,在网络设备上根据情况应用访问控制的策略是一个网管必须熟练的操作,只是在真机上操作一般比较谨慎,现在模拟器上试验就轻松了许多。

  先准备一个全网通的环境:

使用华为eNSP组网试验⑸-访问控制,网络管理,华为,eNSP,访问控制列表,限制访问,限制网速

  上面是全网通的环境,验证:

使用华为eNSP组网试验⑸-访问控制,网络管理,华为,eNSP,访问控制列表,限制访问,限制网速

  路由器Router1的静态路由:

ip route-static 1.1.1.1 255.255.255.255 11.11.12.1
ip route-static 3.3.3.3 255.255.255.255 11.11.11.2
ip route-static 4.4.4.4 255.255.255.255 11.11.11.2
ip route-static 5.5.5.5 255.255.255.255 11.11.11.2
ip route-static 11.11.13.0 255.255.255.0 11.11.11.2
ip route-static 11.11.14.0 255.255.255.0 11.11.11.2
ip route-static 172.16.2.0 255.255.255.0 11.11.11.2
ip route-static 172.16.11.0 255.255.255.0 11.11.11.2
ip route-static 192.168.9.0 255.255.255.0 11.11.12.1
ip route-static 192.168.19.0 255.255.255.0 11.11.12.1
ip route-static 192.168.29.0 255.255.255.0 11.11.12.1

  路由器Router2的静态路由:

ip route-static 1.1.1.1 255.255.255.255 11.11.11.1
ip route-static 2.2.2.2 255.255.255.255 11.11.11.1
ip route-static 4.4.4.4 255.255.255.255 11.11.13.1
ip route-static 5.5.5.5 255.255.255.255 11.11.14.1
ip route-static 11.11.12.0 255.255.255.0 11.11.11.1
ip route-static 172.16.2.0 255.255.255.0 11.11.13.1
ip route-static 172.16.11.0 255.255.255.0 11.11.14.1
ip route-static 192.168.9.0 255.255.255.0 11.11.11.1
ip route-static 192.168.19.0 255.255.255.0 11.11.11.1
ip route-static 192.168.29.0 255.255.255.0 11.11.11.1

  一、基于MAC地址拒绝网络设备上网

  这个方式可以通过访问控制列表限制IP、将这个IP放入黑洞、禁用接口等来实现,下面通过流策略来完成操作。

  假如限制IP地址为192.168.9.3的计算机,我们可以得到它的Mac地址为54-89-98-B4-4C-48。

  ①在交换机SW1上创建访问控制列表4019;

acl number 4019
 rule 10 deny source-mac 5489-98b4-4c48

  ②在交换机SW1上创建流分类tc1,并且匹配访问控制列表4019;

traffic classifier tc1 operator and
 if-match acl 4019

  ③在交换机SW1上创建流行为tb1,并且设置为拒绝;

traffic behavior tb1
 deny

  ④在交换机SW1上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1
 classifier tc1 behavior tb1

  ⑤在交换机SW1的端口GigabitEthernet0/0/0的入口处绑定流策略tp1。

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 traffic-policy tp1 inbound

  简单的写,也可以直接在端口上绑定访问控制列表:

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 traffic-filter inbound acl 4019

  也可以达到限制该计算机的上网,效果是一样的。

  二、限制访问目的设备

  假定172.16.2.5是服务器地址,拒绝192.168.9.0网段访问,但是允许192.168.19.0和192.168.29.0的网段访问。

  ①在交换机SW2上创建访问控制列表3019;

acl number 3019
 rule 10 deny ip source 192.168.9.0 0.0.0.255 destination 172.16.2.5 0

  ②在交换机SW2上创建流分类tc1,并且匹配访问控制列表3019;

traffic classifier tc1 operator and
 if-match acl 3019

  ③在交换机SW2上创建流行为tb1,并且设置为允许;

traffic behavior tb1
 permit

  ④在交换机SW2上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1
 classifier tc1 behavior tb1

  ⑤在交换机SW2的端口GigabitEthernet0/0/1的入口处绑定流策略tp1。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 300
 traffic-policy tp1 inbound

  上面的操作等价于:

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 300
 traffic-filter inbound acl 3019

  但是显然流策略可以实现的目的更广泛,虽然ACL可以实现的目的也很多。
  上面的写法可以变化,访问控制列表为允许,那么流行为就是禁止,效果也是一样的。

  三、限制上网速度

  假定现在要限制IP地址为192.168.9.0的网段的网速,可以通过下面的设置来完成。

  ①在交换机SW1上创建访问控制列表3019;

acl number 3019
 rule 10 permit ip source 192.168.9.0 0.0.0.255

  ②在交换机SW1上创建流分类tc1,并且匹配访问控制列表3019;

traffic classifier tc1 operator and
 if-match acl 3019

  ③在交换机SW1上创建流行为tb1,并且设定网速的限制;

traffic behavior tb1
 car cir 1024 pir 4096 cbs 128000 pbs 512000 green pass yellow pass red discard
 statistic enable

  限定网速为1M,最大为4M。

  ④在交换机SW1上创建流策略tp1并且绑定流分类tc1和流行为tb1;

traffic policy tp1
 classifier tc1 behavior tb1

  ⑤在交换机SW1的端口GigabitEthernet0/0/0的入口处绑定流策略tp1。

interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
 traffic-policy tp1 inbound

  四、策略路由

  可以根据不同的IP决定数据流走不同的路由,有一些应用对不同的路由选择有需求,这个时候可以使用流策略来完成。

  实验图:

使用华为eNSP组网试验⑸-访问控制,网络管理,华为,eNSP,访问控制列表,限制访问,限制网速

  上面的图示中,192.168.9.3最终访问172.16.1.2,192.168.19.3访问172.16.2.2,从而通过策略路由来达到隔离访问的目的,也可以限定网速,比如一条线路为高速,一条线路为一般速度,可以根据源IP来决定是否走高速。

  路由器R0:

[V200R003C00]
#
 sysname Router0
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 set cpu-usage threshold 80 restore 75
#
acl number 3010  
 rule 10 permit ip source 192.168.9.0 0.0.0.255 
acl number 3020  
 rule 10 permit ip source 192.168.19.0 0.0.0.255 
#
traffic classifier tc20 operator or
 if-match acl 3020
traffic classifier tc10 operator or
 if-match acl 3010
#
traffic behavior tb20
 redirect ip-nexthop 11.11.13.2
traffic behavior tb10
 redirect ip-nexthop 11.11.11.2
#
traffic policy tp10
 classifier tc10 behavior tb10
 classifier tc20 behavior tb20
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 11.11.11.1 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 11.11.13.1 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 11.11.9.2 255.255.255.252 
 traffic-policy tp10 inbound
#
interface NULL0
#
ip route-static 192.168.9.0 255.255.255.0 11.11.9.1
ip route-static 192.168.19.0 255.255.255.0 11.11.9.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  路由器R1:

[V200R003C00]
#
 sysname Router1
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 11.11.11.2 255.255.255.252 
 arp-proxy enable
#
interface GigabitEthernet0/0/1
 ip address 172.16.1.1 255.255.255.0 
 arp-proxy enable
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 
#
ospf 1 router-id 2.2.2.2 
 import-route static
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 11.11.11.2 0.0.0.0 
  network 11.11.12.2 0.0.0.0 
#
ip route-static 192.168.9.0 255.255.255.0 11.11.11.1
ip route-static 192.168.19.0 255.255.255.0 11.11.11.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  路由器R2:

[V200R003C00]
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 11.11.13.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 172.16.2.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 
#
ospf 1 router-id 3.3.3.3 
 import-route static
 area 0.0.0.0 
  network 3.3.3.3 0.0.0.0 
  network 11.11.13.2 0.0.0.0 
  network 11.11.14.2 0.0.0.0 
#
ip route-static 192.168.9.0 255.255.255.0 11.11.13.1
ip route-static 192.168.19.0 255.255.255.0 11.11.13.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

  通过流策略还可以做很多其他的事情,比如限制协议、限制私密访问、限制端口、隔离特殊应用等等,这些在特殊条件下可以根据需要可以使用流策略来完成。文章来源地址https://www.toymoban.com/news/detail-728198.html

到了这里,关于使用华为eNSP组网试验⑸-访问控制的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为[ENSP]ACL配置实例(访问控制列表配置实例)

    一、配置PC1、PC2和Server    二、配置Router(运用高级ACL配置) 使用实例 反掩码其实就是用255.255.255.255减去掩码,剩下的就为反掩码。反掩码也必须由从右到左连续的“1”和“0”组成 。通配符掩码和反掩码很不同的一点是反掩码必须有连续的\\\"1\\\"和\\\"0\\\"组成,但是通配符的\\\"1\\\"可

    2023年04月25日
    浏览(34)
  • 华为ensp AC+AP组网案例及ACweb界面配置

    Cloud1 拓扑图 PVID的理解 我们知道PC发送的数据并不带VLAN标签,那么VLAN ID的标签是什么时候打上的呢,其实是在数据中进入交换机端口的时候打上的。在标准的以太网帧的源地址SA和类型Type之间打上的Tag标签,此tag标签中含有VLAN ID,VLAN ID的范围为4096,去掉一个默认的vlan 1和

    2024年01月19日
    浏览(42)
  • 华为ENSP AP+AP三层组网及AP间的漫游实验

     目的:1.配置网络的互通             2.AC 管理AP发出无线信号             3.三台电脑的互通             4.PC可在三个无线信号间漫游 交换机1配置 sys vlan batch 100 200 101 102 int e0/0/1 port link-type trunk port trunk allow-pass vlan all int e0/0/2 port link-type trunk port trunk pvid vlan 200 port trun

    2024年02月07日
    浏览(46)
  • 华为ensp 使用扩展ACL限制公司网络访问

    使用扩展ACL限制公司网络访问 Jan16公司财务部计算机若干台,并架设了专用的财务系统服务器,进行局域网组建,通过路由器连接至互联网。出于财务系统数据安全的考虑,需要在路由器访问控制策略,只能财务部PC1能够访问财务系统前端网站;同时,服务器不可访问外部网

    2024年02月04日
    浏览(35)
  • 基于华为eNSP的多结构企业网/校园网网络设计综合组网配置/作品演示

    XX中学校园的主干层次结构采用核心,汇聚,接入的三层模型。核心层处理整体网络的数据流动,实现各节点间数据的高速处理,增加安全措施和访问权限等等。汇聚夹于两层之间,任务包括线路的整合汇聚,向信息点传递流量数据和策略协议的流动实施。接入层分配带宽,

    2024年02月09日
    浏览(42)
  • 基于华为eNSP的双核心企业网/校园网网络设计综合组网配置/作品演示【网络工程毕业设计】

    XX中学校园 的主干层次结构采用核心,汇聚,接入的三层模型。核心层处理整体网络的数据流动,实现各节点间数据的高速处理,增加安全措施和访问权限等等。汇聚夹于两层之间,任务包括线路的整合汇聚,向信息点传递流量数据和策略协议的流动实施。接入层分配带宽,

    2024年02月08日
    浏览(42)
  • 华为6605AC控制器大型组网wlan pool技术应用(自动漫游)

    vlan pool技术主是是解决在大型组网中全部显示一个名称SSID,但不同区域连接的用户对应不同的vlan,这样防止一个vlan太多用户,广播域太大,以实现一个SSID对应一堆vlan,且可以实现漫游。 用hash算法比较常用: dis current-configuration vlan batch 100 vlan pool vlan_pool_test //定义业务vl

    2024年02月13日
    浏览(43)
  • 华为eNSP实现外网访问内网,DHCP,easyIP配置案例

    1.五个部门独立的网络管理,分别不同的VLAN 2.VLAN网关在SW1上 3.边界路由器R1与SW1通过三层互联 4.R1上配置转换技术实现VLAN10,20,40,50上网,财务部不许上网 5.R1上通过最节省IP地址方式上网,访问server1的WEB服务器 6.各个部分通过DHCP自动获取地址参数,SW1作为DHCP服务器 7.实现在

    2024年02月05日
    浏览(73)
  • 华为ensp中nat server 公网访问内网服务器

    作者主页: 点击! ENSP专栏: 点击! 创作时间:2024年4月15日17点30分 NAT服务器是一种在网络边界设备上配置的服务,它允许外部网络的用户访问内部网络中的服务或主机,同时隐藏了内部网络的真实IP地址。通过NAT服务器,内部网络中的服务或主机可以对外部网络提供服务,

    2024年04月17日
    浏览(38)
  • 华为ensp中高级acl (控制列表) 原理和配置命令 (详解)

    作者主页: 点击! ENSP专栏:点击! 创作时间:2024年4月6日23点18分 高级acl(Access Control List)是一种访问控制列表,可以根据数据包的源IP地址、目标IP地址、源端口、目标端口、协议、ICMP类型等多种因素进行过滤。高级acl比基本acl更加灵活,可以提供更细粒度的控制。 AC

    2024年04月10日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包