璁块棶鎺у埗acl鍔熻兘(acl鏍囧噯璁块棶鎺у埗鍒楄〃)

[db:作者]

网络要求:
1.完成拓扑中各设备的基本配置，使全网互通；
2.在前面要求的基础上，在路由器上部署高级ACL，使Client2无法访问服务器的HTTP服务，但Client2仍然可以访问服务器和其他节点的其他服务。其他流量不受限制。
一、eNSP实际运行视频:
视频加载中...二、主要知识点:
简介ACL是访问控制列表的缩写，中文是访问控制列表。ACL包含一系列条件语句，实际上是包括“允许”或“拒绝”在内的一系列规则。换句话说，ACL是一组或多组人工定义的规则，以便设备可以判断是否执行用户指定的操作。
当网络中的设备相互通信时，需要保证网络传输的安全性、可靠性和稳定性能。例如:
防止对网络的攻击，如IP消息、TCP消息和ICMP消息。
控制网络访问行为，如企业网络内外网之间的通信，控制用户对特定网络资源的访问，允许在特定时间段内访问网络。
限制网络流量，提高网络性能，如限制上下游流量带宽，向用户收取带宽费用，保证高带宽网络资源的充分利用。
ACL的出现有效地解决了上述问题，保证了网络传输的稳定性和可靠性。
ACL通过规则对报文进行分类，这些规则应用于路由设备，路由设备可以根据这些规则判断哪些报文可以接收，哪些报文需要拒绝，从而大大提高了网络的安全性。
根据ACL对IPv4和IPv6协议的支持，ACL可以分为ACL4和ACL6。
根据ACL4的功能对其进行分类，如下表所示。
三。IP设置:
客户端1:192.168.1.1/24，vlan10
客户端2:192.168.1.2/24，vlan20
路由器:192.168.1.254/24，10.1.1.254/24
服务器1:10.1.1.1/24
四。配置步骤:
1.Client2使用eNSP中的客户端模拟完成IP地址和网关的配置；
使用serverensp中的服务器仿真完成IP地址和网关的配置，启动HTTP服务。
路由器的基本配置如下:
[路由器]接口千兆以太网0/0/0
[路由器-千兆以太网0/0/0] ip地址192.168.1.254 24
[路由器]接口千兆以太网0/0/1
[路由器-千兆以太网0/0/1] ip地址10.1.1.254 24
以上配置完成后，全网可以实现互通。接下来，在路由器上部署ACL:
[路由器] acl 3000
[Router-acl-adv-3000]规则拒绝tcp源192.168.1.2 0目标10.1.1.1 0目标端口eq 80
#源是192.168.1.2，目的是10.1.1.1，目的端口是80。
TCP流量
[路由器-acl-adv-3000]规则允许ip
[路由器]接口千兆以太网0/0/0
[Router-GigabitEthernet0/0/0]流量过滤入站acl 3000
经过以上配置，Client1可以访问服务器(所有服务)，Client2可以ping服务器，但是不能访问服务器的HTTP服务。
动词 （verb的缩写）扩展内容:
ENSP可以模拟FTP、HTTP和DNS的服务器端和客户端，所以本实验涉及的HTTP服务部分可以用eNSP的相关模拟设备进行模拟:
比如模拟HTTP服务器，把服务器图标拖到画布上，双击打开配置界面，填写IP地址、网关地址等信息。完成这些基本配置后，切换到“服务器信息”选项卡:
在左边选择HTTPServer，然后在你的电脑上找一个文件夹作为HTTP的目录，在上图所示的界面中选择“文件根目录”(比如上图中的E:Test，这是你电脑上的一个目录，目录中可以放一个HTML文件)。配置完成后，单击“开始”按钮。
客户端的配置也非常简单。拖拽选择一个客户端到画布上，然后双击该客户端，填写客户端IP地址、网关地址等信息，然后切换到“客户端信息”选项卡，选择HttpClient，然后输入WEB服务器的地址，点击Get:
如果访问成功，会弹出如下界面:
本实验由华为模拟器ENSP版本eNSP1.3.00.100(最新版本)完成。软件还包括CE、CX、NE40E、NE5000E、NE900E、USG6000V的IOS设备，可以完成复杂的网络测试。需要这款模拟器的朋友可以转发本文关注边肖，私信边肖【666】即可获取。