华为ACL网络安全

               华为ACL网络安全

  一.

  1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系；

  2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan；

  3.网络层安全  基于源IP地址 目标IP地址控制；

  4.传输层安全   会话*** LAND*** syn洪水***；

  5.应用层安全  登陆密码；

  6.网络层安全

   标准的ACL，

   基于源地址进行控制；

  7.访问控制列表

   扩展源地址；

   基于原地址 目标地址；

   端口号进行控制。

 二.

     使用标准的ACL配置网络安全

实验要求：

 网络中的路由器和计算机已经配置ip地址和路由在Router 0上定义标准acl实现以下功能；

 1.只有市场部和财务部的计算机能够访问internet；

 2.服务器组中的计算机拒绝访问internet。

实验代码：

   Router 0

Router#config t

Router#(config)access-list 10 deny host 192.168.2.2

         拒绝这个ip上网

Router#(config)access-list 10 permit 192.168.1.0 0.0.0.255

Router#(config)access-list 10 permit 192.168.2.0 0.0.0.255

         允许ip上网

Router#(config)interface serial 3/0

    使用标准的acl配置网络安全

Router#(config-if)ip access-group 10 out

Router#show access-lists

   查看访控制列表

    先拒绝在允许上网 关系不能搞错了

实验验证：

三.

  使用扩展的ACL实现网络安全

拓扑图：

实验要求:

   实验要求不一样

实验代码:

    Router 0

Router#config

Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any    

  允许这个ip访问互联网任何地址

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80

Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any

Router(config)#intterface serial 3/0    

Router(config)#ip access-group 100 out

Router#show access-lists  查看访问控制列表

实验验证：

四.

   使用ACL保护路由器的安全

拓扑图：

实验要求：

  网络中的路由器和计算机已经配置了ip地址和路由在R0上定义标准acl实现以下功能

 1.只允许IJG部门的计算机能够telnet路由器R0

  telnet密码是hanlg   enbable密码是todd

实验代码:

      Router 0

Router#config t

Router(config)#line vty 0 15

Router(config)#password aaa

Router(config)#login

    创建标准访问列表

Router(config)#access-list 10 permit 192.168.1.3 0.0.0.0

Router(config)#line vty 0 15

Router(config)#access-class 10 in

    将ACL绑到telnet接口

Router(config)#access-group 10 in    不一样不要搞错了

    将ACL绑到物理接口 

实验验证：

实验总结：

   1.标准IP访问列表只对源IP地址进行过滤。

　　2.扩展访问控制列表不仅过滤源IP地址，还可以对目的IP地址、源端口、目的端口进行过滤

　　3.尽量把扩展ACL应用在距离要拒绝通信流量的来源最近的地方，以减少不必要的通信流量。

　　4.最好把标准的ACL应用在离目的地最近的地方

　　5.标准的ACL根据数据包的源IP地址来允许或拒绝数据包。

　　6.当配置访问控制列表时，顺序很重要。