华为ACL网络安全
一.
1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系;
2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan;
3.网络层安全 基于源IP地址 目标IP地址控制;
4.传输层安全 会话*** LAND*** syn洪水***;
5.应用层安全 登陆密码;
6.网络层安全
标准的ACL,
基于源地址进行控制;
7.访问控制列表
扩展源地址;
基于原地址 目标地址;
端口号进行控制。
二.
使用标准的ACL配置网络安全
实验要求:
网络中的路由器和计算机已经配置ip地址和路由在Router 0上定义标准acl实现以下功能;
1.只有市场部和财务部的计算机能够访问internet;
2.服务器组中的计算机拒绝访问internet。
实验代码:
Router 0
Router#config t
Router#(config)access-list 10 deny host 192.168.2.2
拒绝这个ip上网
Router#(config)access-list 10 permit 192.168.1.0 0.0.0.255
Router#(config)access-list 10 permit 192.168.2.0 0.0.0.255
允许ip上网
Router#(config)interface serial 3/0
使用标准的acl配置网络安全
Router#(config-if)ip access-group 10 out
Router#show access-lists
查看访控制列表
先拒绝在允许上网 关系不能搞错了
实验验证:
三.
使用扩展的ACL实现网络安全
拓扑图:
实验要求:
实验要求不一样
实验代码:
Router 0
Router#config
Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any
允许这个ip访问互联网任何地址
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80
Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
Router(config)#intterface serial 3/0
Router(config)#ip access-group 100 out
Router#show access-lists 查看访问控制列表
实验验证:
四.
使用ACL保护路由器的安全
拓扑图:
实验要求:
网络中的路由器和计算机已经配置了ip地址和路由在R0上定义标准acl实现以下功能
1.只允许IJG部门的计算机能够telnet路由器R0
telnet密码是hanlg enbable密码是todd
实验代码:
Router 0
Router#config t
Router(config)#line vty 0 15
Router(config)#password aaa
Router(config)#login
创建标准访问列表
Router(config)#access-list 10 permit 192.168.1.3 0.0.0.0
Router(config)#line vty 0 15
Router(config)#access-class 10 in
将ACL绑到telnet接口
Router(config)#access-group 10 in 不一样不要搞错了
将ACL绑到物理接口
实验验证:
实验总结:
1.标准IP访问列表只对源IP地址进行过滤。
2.扩展访问控制列表不仅过滤源IP地址,还可以对目的IP地址、源端口、目的端口进行过滤
3.尽量把扩展ACL应用在距离要拒绝通信流量的来源最近的地方,以减少不必要的通信流量。
4.最好把标准的ACL应用在离目的地最近的地方
5.标准的ACL根据数据包的源IP地址来允许或拒绝数据包。
6.当配置访问控制列表时,顺序很重要。
