华为ensp 使用扩展ACL限制公司网络访问

这篇具有很好参考价值的文章主要介绍了华为ensp 使用扩展ACL限制公司网络访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

使用扩展ACL限制公司网络访问

1.项目背景

Jan16公司财务部计算机若干台,并架设了专用的财务系统服务器,进行局域网组建,通过路由器连接至互联网。出于财务系统数据安全的考虑,需要在路由器访问控制策略,只能财务部PC1能够访问财务系统前端网站;同时,服务器不可访问外部网络。项目拓扑如图1所示。具体要求如下:

要求仅允许财务部PC1访问财务系统服务器前端网站;

财务系统服务器仅在内网使用,不允许访问外部网络;

测试计算机、路由器的IP和接口信息如拓扑所示。

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图1 网络拓扑图

2.项目规划设计

扩展ACL可以对IP包地址信息中的源地址、目的地址、协议、端口号进行匹配,即检查通过IP包中的地址信息,如果地址信息与ACL中的规则相匹配,就执行放行或拦截的操作。在本项目中,访问控制策略主要集中在对财务系统服务器的访问权限上,可通过路由器上应用即可实现。ACL策略的主要内容包括:1、创建允许财务部PC1对服务器80端口的访问;2、创建拒绝财务系统服务器对外部网络访问。

配置步骤如下:

配置路由器接口

配置高级ACL控制访问

配置各部门计算机的IP地址

具体规划如下表:

表1 端口规划表

本端设备

端口号

对端设备

SW1

G0/0/1

R1

SW1

G0/0/2

财务系统服务器

SW2

Eth0/0/1

财务部PC1

SW2

Eth0/0/2

财务部PC2

SW2

G0/0/2

R1

R1

G0/0/1

SW1

R1

G0/0/2

SW2

表2 IP地址规划表

设备

接口

IP地址

R1

G0/0/0

16.16.16.16/24

R1

G0/0/1

192.168.10.254/24

R1

G0/0/2

192.168.20.254/24

财务系统服务器

192.168.20.1/24

财务部PC1

192.168.10.1/24

财务部PC2

192.168.10.2/24

3.项目实施

(1)配置路由器接口

R1的配置

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]

[Huawei]un in en

Info: Information center is disabled.

[Huawei]sys AR1

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip add 16.16.16.16 24

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip add 192.168.20.254 24

[AR1-GigabitEthernet0/0/1]int g0/0/2

[AR1-GigabitEthernet0/0/2]ip add 192.168.10.254 24

[AR1-GigabitEthernet0/0/2]q

[AR1]

(2)配置高级ACL控制访问

①在路由器上配置高级ACL规则,允许财务部PC1对服务器80端口的访问。将规则应用到G0/0/1的端口上。

[AR1]acl 3000

[AR1-acl-adv-3000]rule 5 permit tcp source 192.168.10.1 0 destination-port eq 80

[AR1-acl-adv-3000]rule 10 deny ip source 192.168.10.2 0

[AR1-acl-adv-3000]int g0/0/1

[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

[AR1-GigabitEthernet0/0/1]q

②在路由器上配置高级ACL规则,拒绝财务系统服务器对外网的访问。将规则应用到G0/0/0的端口上。

[AR1]acl 3001

[AR1-acl-adv-3001]rule 5 deny ip source 192.168.20.0 0.0.0.255

[AR1-acl-adv-3001]q

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3001

[AR1-GigabitEthernet0/0/0]q

(3)配置各部门计算机的IP地址

图2 财务系统服务器 IP配置图

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图3 财务部PC1 IP配置图

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图4 财务部PC2 IP配置图

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

4.项目验证

(1)查看访问控制列表

R1的配置

[AR1]dis acl all

Total quantity of nonempty ACL number is 2

Advanced ACL 3000, 2 rules

Acl's step is 5

rule 5 permit tcp source 192.168.10.1 0 destination 192.168.20.1 0 destination-port eq www

rule 10 deny ip source 192.168.10.2 0.0.0 (15 matches)

Advanced ACL 3001, 1 rule

Acl's step is 5

rule 5 deny ip source 192.168.20.1 0.0.0.0 (5 matches)

[AR1]

(2)测试财务部PC与服务器80端口的连通性

①配置财务系统服务器HttpServer,启用80端口。

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图5 财务系统服务器 HttpServer配置图

②使用财务部PC1访问

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图6 财务部PC1访问Http

③使用财务部PC2访问

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图7 财务部PC2访问Http

(3)测试服务器与外部网络的连通性

①使用财务系统服务器Ping测试外部网络:

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图8 财务系统服务器ping外网

财务部系统服务器不可以与外部网路通信。

②使用财务部PC1 Ping测试外部网络:

ensp中jan16公司,运维,计算机网络,Powered by 金山文档

图9 财务部PC1 ping外网

可以看出,财务部可以与外部网路通信。文章来源地址https://www.toymoban.com/news/detail-765719.html

到了这里,关于华为ensp 使用扩展ACL限制公司网络访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为[ENSP]ACL配置实例(访问控制列表配置实例)

    一、配置PC1、PC2和Server    二、配置Router(运用高级ACL配置) 使用实例 反掩码其实就是用255.255.255.255减去掩码,剩下的就为反掩码。反掩码也必须由从右到左连续的“1”和“0”组成 。通配符掩码和反掩码很不同的一点是反掩码必须有连续的\\\"1\\\"和\\\"0\\\"组成,但是通配符的\\\"1\\\"可

    2023年04月25日
    浏览(34)
  • 思科模拟器:acl网络访问控制 扩展设置 (100-199)

    环境: 1. 全局互通 2.阻止1.1访问2.1ftp服务 3.阻止3.1访问2.2www 网站访问 在r2路由器上全局模式下 access-list 100 deny tcp host 192.168.1.1 host 192.168.2.1 eq ftp 100-199都可以 deny是拒绝 主机 1.1 访问 2.1 的 ftp服务 然后写3.1不能访问2.2的网站 access-list 100 deny tcp host 192.168.3.1 host 192.168.2.2 eq ww

    2024年02月12日
    浏览(44)
  • 使用ACL限制不同网段的用户控制访问

    本实验将高级ACL应用在流策略模块,使设备可以对不同网段用户互访的报文进行过滤,达到限制不同网段限制访问的目的。 要求:先全网互通,后再使技术部不能访问财务部,但技术部和财务部都可以访问路由器。 LSW3 # vlan batch 10 20 30 interface Vlanif10  ip address 192.168.10.1 255.

    2024年02月09日
    浏览(38)
  • 华为交换机路由器使用基本ACL限制Telnet,http登录权限

    如图所示,PC与设备之间路由可达,用户希望简单方便的配置和管理远程设备,可以在服务器端配置Telnet用户使用AAA验证登录,并配置安全策略,保证只有符合安全策略的用户才能登录设备。 配置通过Telnet登录设备组网图 采用如下的思路配置通过Telnet登录设备: 配置Telnet方

    2024年01月16日
    浏览(47)
  • 华为eNSP配置专题-ACL的配置

    本文模拟了一个公司的环境,并尝试用ACL配置的方式只允许总裁办的网段能够访问财务服务器。 1.1、宿主机 笔记本电脑,配置如下:Windows10企业版,32GB内存 1.2、eNSP模拟器 eNSP1.3.00 2.1、基本终端构成和连接 0、总体拓扑如下: 1、2个PC,一个代表研发部(网段为192.168.1.1/24)

    2024年04月10日
    浏览(35)
  • ACL 限制访问

    ACL 访问控制协议 :在路由器上配置的网络层协议 网络安全网络服务质量  通过对网络中报文流精确识别 访问控制 将一部分去掉 防止网络攻击 提高网络带宽利用率 保证网络质量 Permit  deny 组成的有序列表 匹配工具 对报文进行匹配和区分(主要用IP地址区分) 一个机

    2024年02月09日
    浏览(33)
  • 华为ensp中基本acl 原理及配置命令(详解)

    作者主页: 点击! ENSP专栏:点击! 创作时间: 2024年4月5日10点45分 基本ACL的简介 华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。 ACL的匹配规则 ACL匹配规则 步骤:

    2024年04月14日
    浏览(44)
  • 使用华为eNSP组网试验⑸-访问控制

    今天练习使用华为sNSP模拟网络设备上的访问控制,这样的操作我经常在华为的S7706、S5720、S5735或者H3C的S5500、S5130、S7706上进行,在网络设备上根据情况应用访问控制的策略是一个网管必须熟练的操作,只是在真机上操作一般比较谨慎,现在模拟器上试验就轻松了许多。 先准

    2024年02月07日
    浏览(91)
  • 华为ensp中高级acl (控制列表) 原理和配置命令 (详解)

    作者主页: 点击! ENSP专栏:点击! 创作时间:2024年4月6日23点18分 高级acl(Access Control List)是一种访问控制列表,可以根据数据包的源IP地址、目标IP地址、源端口、目标端口、协议、ICMP类型等多种因素进行过滤。高级acl比基本acl更加灵活,可以提供更细粒度的控制。 AC

    2024年04月10日
    浏览(38)
  • ensp 的完全体?华为新版网络模拟器 ensp lite 使用体验

    上个版本的ensp 停止维护已经过去三年了,但就在上周,华为又最新发布了其最新版本的网络模拟器,ensp lite  由于此ensp lite 没有公开发布(官网下载需要内部账号)本人没有 在此 转载我找的百度网盘 ensp lite 下载链接  https://pan.baidu.com/s/172pfKKhahdtJ4sxYjnKJZA?pwd=6eba 我下载到的

    2024年02月09日
    浏览(61)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包