之前的技术帖我们给大家介绍了基于基本的ACL的包过滤防火墙功能,今天的技术帖我们给大家介绍基于高级的ACL的包过滤防火墙功能。
鉴于我们的华三模拟器pc没有telnet功能,所以我们把拓扑图做一些改动!
小知识点:如何用路由器充当pc。
1. 先给路由器接口配置ip地址和掩码;
2. 在路由器上配置默认路由指向网关(相当于给pc配置网关地址)。
[H3C]sysnamepc1 [pc1]intg 0/0 [pc1-GigabitEthernet0/0]ipadd 192.168.1.1 24 [pc1-GigabitEthernet0/0]quit [pc1]iproute-static 0.0.0.0 0.0.0.0 192.168.1.254 [pc1] 先在R1上配置Telnet功能,使pc1可以正常远程telnet到R1。我们这边配置一个最简单的无需密码登录! 验证: 题目要求:希望PC1可以和路由器进行正常的数据通信,但拒绝pc的Telnet访问R1. (分析:针对pc1,只有Telnet流量被禁止,其它流量要被放行,标准acl无法实现同一个用户,部分流量被限制的功能,所以这里只能用高级acl) 命令解析: 包过滤防火墙的默认规则是permit,所有允许通过的规则不需要单独设置 [R1]acl advanced 3000 ----创建一个高级acl 3000 [R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255destination192.168.2.100 0.0.0.0 destination-porteq 23 -----设置拒绝192.168.1.0网段去192.168.2.100的Telnet访问 [R1-acl-ipv4-adv-3000]rule deny tcp source192.168.1.0 0.0.0.255 destination192.168.1.254 0.0.0.0 destination-port eq 23 -----设置拒绝192.168.1.0网段去192.168.1.254的Telnet访问 [R1-acl-ipv4-adv-3000]quit [R1]int g 0/0 [R1-GigabitEthernet0/0]packet-filter 3000inbound ---接口下应用高级acl 3000 [R1-GigabitEthernet0/0] 高级acl的配置命令:acl advanced 3000 – 3999 rule permit/deny +协议+source +源网段+通配符 +destination +目的网段+通配符 +destination-port eq +端口号 测试: 可以ping通,但无法Telnet,另一个地址也是类似的效果。
联系客服