华为ACL控制协议实现流量控制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为ACL控制协议实现流量控制相关的知识,希望对你有一定的参考价值。

一、网络拓扑:
技术分享图片
二、实验内容:实现ACL控制流量的相关操作
三、实验步骤:
1、新建拓扑,添加三台路由器,两台PC机,并连线。
技术分享图片

2、按照下图配置相关节点的IP地址,利用RIP协议配置路由器之间的动态路由
技术分享图片
RIP配置命令如下:
[Huawei]rip 10
[Huawei-rip-10]version 2 //启用RIPV2
[Huawei-rip-10]network 192.168.1.0 //宣告网络进入RIP协议
[Huawei-rip-10]network 192.168.2.0 //宣告网络进入RIP协议
每个路由器的network都I写本路由接口的IP网段
3、配置ACL规则,使PC1不能访问PC2,网络中的其他节点PC1都能访问。配置ACL之前,先验证PC1与PC2能否ping通:
技术分享图片
配置ACL命令如下:
[Huawei]acl 3000 //创建高级ACL条目 acl 3000
[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 destination 192
.168.4.1 0.0.0.0 //配置ACL 3000的规则,拒绝192.168.1.1访问192.168.4.1
[Huawei-acl-adv-3000]quit //退回系统视图
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //进入端口GigabitEthernet0/0/1调用acl 3000
再次验证主机PC1ping主机PC2,以及主机PC1ping PC2的网关
技术分享图片
技术分享图片
4、配置ACL规则,使AR3不能远程访问AR1和AR2,先在AR2和AR1上开启远程登录以及设置密码,验证AR3能否远程访问AR1和AR2
AR1命令如下:
[Huawei]user-interface vty 0 4 //进入远程登录配置界面
[Huawei-ui-vty0-4]authentication-mode password //配置验证模式为密码验证
Please configure the login password (maximum length 16):123 //设置远程登录密码为123
AR3远程访问命令:<Huawei>telnet 192.168.3.2
技术分享图片
技术分享图片
根据上如可知AR3可以远程登录到AR1和AR2,下面配置ACL规则,不允许AR3远程登录AR1和AR2。因为telent 访问时的源端口是随机的,而目标端口是固定的,所以要使AR3不能远程访问AR1和AR2,只能限制目标端口号tcp 23.另外每个路由器都有两个端口,所以需要限制目标IP为AR1和AR2上的接口IP,源IP为AR3上的两个接口IP。配置命令如下:
[Huawei]acl 3333
[Huawei-acl-adv-3333]rule 5 deny tcp source 192.168.1.254 0.0.0.0 destination 19
2.168.2.2 0.0.0.0 destination-port eq 23 //拒绝192.168.1.254访问192.168.2.2的TCP23号端口
[Huawei-acl-adv-3333]rule 10 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.2.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 15 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 20 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 25 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 30 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 35 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 40 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]quit //退回系统视图
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3333 //调用acl 3000
验证AR3通过192.168.2.1和192.168.1.254分别远程登录AR2和AR1的,结果如下:
技术分享图片

通过上图可知,无论AR3通过哪个接口远程登录AR1和AR2都不能成功,再验证AR1和AR2能否互相远程登录
技术分享图片

技术分享图片
由图可知AR1和AR2可以远程登录,综上可知,以上的配置,成功阻止了AR3远程登录AR1和AR2,却没有影响AR1和AR2之间的互相远程登录。

以上是关于华为ACL控制协议实现流量控制的主要内容,如果未能解决你的问题,请参考以下文章

ACL访问控制列表

华为HCNA访问控制列表ACL实例配置

ACL 访问控制列表

acl访问控制列表

华为配置ACL——小型公司案例实验

华为拓扑---cal的高级使用