HCIA 10 网络安全之结合ACL访问控制列表登录Telnet及FTP

ACL 本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用 ACL 的业务模块的处理策略来允许或阻止该报文通过。 

1.实验介绍及拓扑

R3 为telnet服务器,R1 为客户端,客户端与服务器之间路由可达。其中 R1 和 R2间互联地址分别为 10.1.2.1/24 和 10.1.2.2/24,R2 和 R3 间为10.1.3.2/24 和 10.1.3.1/24。另外,R1 上创建两个逻辑接口 LoopBack 0 和 LoopBack 1 分别模拟两个客户端用户,地址分别为 10.1.1.1/24 和 10.1.4.1/24。
其中一个用户(R1 的 LoopBack 1 接口)需要远程管理设备 R3,可以在服务器端配置Telnet,用户通过密码登录,并配置基于 ACL 的安全策略,保证只有符合安全策略的用户才能登录设备。

注意!! 模拟器R2用2220 


2.掌握内容及配置思路

2.1掌握内容

#ACL 的配置方法
#ACL 在接口下的应用方法
#掌握流量过滤的基本方式

2.2配置思路

#配置设备 IP 地址
#配置 OSPF,使得网络路由可达
# 配置 ACL,匹配特定流量
# 配置流量过滤

3.配置步骤

步骤 1 配置设备 IP 地址


# 配置 R1、R2 和 R3 的 IP 地址


R1
sys
un in en
sys R1
int g0/0/3
ip add 10.1.2.1 24
quit
int loopback 0
ip add 10.1.1.1 24
quit
int loopback 1
ip add 10.1.4.1 24
quit

R2
sys
un in en
sys R2
int g0/0/0
ip add 10.1.2.2 24
quit
int g0/0/2
ip add 10.1.3.2 24
quit

R3
sys
un in en
sys R3
int g0/0/3
ip add 10.1.3.1 24
quit

步骤 2 配置 OSPF 使网络互通

# 在 R1、R2 和 R3 上配置 OSPF,三台设备均在区域 0 中,实现全网互联互通

# 验证邻居状态

# 在 R3 上执行 Ping 命令,检测网络的连通性

R1
ospf 
a 0
net 10.1.1.1 0.0.0.0

net 10.1.2.1 0.0.0.0

net 10.1.4.1 0.0.0.0

R2
ospf 
a 0
net 10.1.2.2 0.0.0.0
net 10.1.3.2 0.0.0.0

R3
ospf 
a 0
net 10.1.3.1 0.0.0.0

#R3到R1环回口通了,通过OSPF实现路由可达

步骤 3 配置 R3 为 Telnet 服务器

user-interface命令用来进入一个用户界面视图或多个用户界面视图。 
VTY(Virtual Type Terminal)用户界面,用来管理和监控通过Telnet或SSH方式登录的用户。 

#  R3 使能 Telnet 功能,配置用户权限等级为 3 级,登录密码为happy@666

R3
telnet server enable
user-interface vty 0 4
user privilege level 3
set authentication password cipher happy@666

因为时cipher所以配完加密了

方式一: R3 的 VTY 接口匹配 ACL,允许 R1 通过 LoopBack 1 口地址 Telnet 到 R3。

# 在 R3 上配置 ACL
# 在 R3 的 VTY 接口上进行流量过滤
# 在 R3 上查看 ACL 配置信息

R3
acl 3000
rule 5 permit tcp source 10.1.4.1 0.0.0.0 destination 10.1.3.1 0.0.0.0 destination-port eq 23
rule 10 deny tcp source any
quit

user-interface vty 0 4
acl 3000 inbound
display acl 3000

Acl's step is 5  ——ACL的步长为5。 

两条规则如下

rule 5 permit tcp source 10.1.4.1 0 destination 10.1.3.1 0 destination-port eq telnet ——规则5,允许特定的流量通过,当没有匹配的报文时,不显示matches字段。 

rule 10 deny tcp    拒绝其他tcp流量

方式二:在 R2 接口匹配 ACL,只允许 R1 通过物理接口地址 Telnet 到 R3。 # 在 R2 上配置 ACL

# 在 R2 的g0/0/3 接口上进行流量过滤
# 在 R2 上查看 ACL 配置信息

R2
acl 3001
rule 5 permit tcp source 10.1.4.1 0.0.0.0 destination 10.1.3.1 0.0.0.0 destination-port eq 23
rule 10 deny tcp source any
quit

int g0/0/0
traffic-filter inbound acl 3001  //3口入的流量匹配acl3001
dis acl 3001

规则5,允许特定的流量通过,匹配的报文数目为21。 

4.验证

4.1检测 Telnet 访问,验证 ACL 配置结果

#在 R1 上带源地址 10.1.1.1 telnet 到服务器。

telnet命令用来从当前设备使用Telnet协议登录到其它设备。 
-a source-ip-address :通过指定源地址,用户可以用指定的IP地址与服务端通信。

#在 R1 上带源地址 10.1.4.1 telnet 到服务器。

模拟器Router路由器接口没有traffic-filter命令,所以用AR2220导致重新做了配置又排错。耽误时间。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/704325.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

目标检测中的anchor机制

目录 一、目标检测中的anchor机制 1.什么是anchor boxes? 二、什么是Anchor? ​编辑三、为什么需要anchor boxes? 四、anchor boxes是怎么生成的? 五、高宽比(aspect ratio)的确定 六、尺度(scale)的…

Druid 参数配置详解

简介 Java 程序很大一部分要操作数据库,为了提高性能操作数据库的时候,又不得不使用数据库连接池。 Druid 是阿里巴巴开源平台上一个数据库连接池实现,结合了 C3P0、DBCP 等 DB 池的优点,同时加入了日志监控。 Druid 可以很好的…

【设计模式】行为型设计模式之 迭代器模式

介绍 迭代器模式(Iterator Pattern) 是行为设计模式之一,它提供了一种访问集合对象(如列表、数组或其他集合结构)中元素的方式,而不需要暴露集合的内部结构。迭代器模式定义了一个迭代器接口,该…

大数据学习——安装hive

一. 安装准备 1. 打开虚拟机,启动配置了NameNode节点的虚拟机(一般和mysql在同一台虚拟机)并连接shell 二. 安装 1. 上传hive安装包 hive安装包 提取码:6666 切换到/opt/install_packages目录下 可以将之前解压的rpm文件删除…

Adaboost集成学习 | Matlab实现基于CNN-LSTM-Adaboost集成学习时间序列预测(股票价格预测)

目录 效果一览基本介绍模型设计程序设计参考资料 效果一览 基本介绍 Adaboost集成学习 | Matlab实现基于CNN-LSTM-Adaboost集成学习时间序列预测(股票价格预测) 模型设计 融合Adaboost的CNN-LSTM模型的时间序列预测,下面是一个基本的框架。 …

渗透测试工具NMAP

nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全…

linux安装jdk + docker+dockercompose+aliyunACR

下载安装包 链接:https://pan.baidu.com/s/1AyFvPA5qwy4IxfZoTQohrQ 提取码:6666 安装jdk jdk-8u411-linux-x64.tar.gz 链接:https://pan.baidu.com/s/1BZ7J4L5PY-9nuQyxBMDGTA 提取码:6666 1、解压jdk tar -xvf jdk-8u411-li…

HTML静态网页成品作业(HTML+CSS+JS)—— 美食企业曹氏鸭脖介绍网页(4个页面)

🎉不定期分享源码,关注不丢失哦 文章目录 一、作品介绍二、作品演示三、代码目录四、网站代码HTML部分代码 五、源码获取 一、作品介绍 🏷️本套采用HTMLCSS,使用Javacsript代码实现 图片轮播切换,共有4个页面。 二、…

SylixOS下UDP组播测试程序

SylixOS下UDP组播测试 测试效果截图如下: udp组播发送测试程序。 /********************************************************************************************************* ** ** 中国软件开源组织 ** ** …

即插即用!CVD:第一个生成具有相机控制的多视图一致视频方案!(斯坦福港中文)

论文链接:https://arxiv.org/abs/2405.17414 项目链接:https://collaborativevideodiffusion.github.io/ 最近对视频生成的研究取得了巨大进展,使得可以从文本提示或图像生成高质量的视频。在视频生成过程中添加控制是未来的重要目标&#x…

算法:模拟题目练习

目录 题目一:替换所有的问号 题目二:提莫攻击 题目三:N字形变换 题目四:外观数列 题目五:数青蛙 首先先解释一下模拟算法是什么,其实模拟算法就是题目让我们干什么我们就干什么,思路比较简…

【数据库设计】宠物商店管理系统

目录 🌊1 问题的提出 🌊2 需求分析 🌍2.1 系统目的 🌍2.2 用户需求 🌻2.2.1 我国宠物行业作为新兴市场,潜力巨大 🌻2.2.2 我国宠物产品消费规模逐年增大 🌻2.2.3 我国宠物主选…

YOLOv5改进 | Head | 将yolov5的检测头替换为ASFF_Detect

💡💡💡本专栏所有程序均经过测试,可成功执行💡💡💡 在目标检测中,为了解决尺度变化的问题,通常采用金字塔特征表示。然而,对于基于特征金字塔的单次检测器来…

凡尔码来访登记卡助力来访安全

来访登记制度是指为了加强对来访人员的管理和安全控制,确保组织内部秩序和安全的一项制度。通过来访登记制度,可以对来访人员的身份进行核实,了解来访目的,并采取相应的安全措施,为组织内部的工作和人员安全提供保障。…

Sass实战运用,如何利用好Sass

Sass(Syntactically Awesome Stylesheets)是一种CSS预处理器,它提供了许多强大的功能,如变量、嵌套规则、混合(Mixins)、函数等,使得CSS的编写更加高效、灵活和易于维护。以下是关于Sass实战运用…

Go基础编程 - 05 - 数组与切片

目录 1. 数组2. 切片2.1. slice 声明、初始化2.2. slice 操作2.3. append() 追加切片、扩容2.4. 字符串和切片 3. Copy4. Array、Slice 内存布局 上一篇:基本类型、常量和变量 1. 数组 数组是同一种类型固定长度的序列(有长度、类型构成)。…

Postgres 正在吞噬数据库世界

Postgres 正在吞噬数据库世界 作者:Ruohang Feng(Vonng)|微信| Medium | 2024-03-04 标签: PostgreSQL生态系统 PostgreSQL 不仅仅是一个简单的关系型数据库,它还是一个数据管理框架,具有席卷整个数据库领…

基于WPF技术的换热站智能监控系统04--实现左侧历史曲线

1、区域划分 左侧分5行,第一行信息标题,第二行历史曲线 2、安装livecharts图表控件 3、引入图表控件命名空间 4、使用控件 5、运行效果 走过路过不要错过,点赞关注收藏又圈粉,共同致富,为财务自由作出贡献

IP地址乱成一团?用Shell一键搞定!

在日常的运维工作中,我们经常需要对各种数据进行处理和分析,其中包括对IP地址的管理和排序。排序后的IP地址列表可以帮助我们更好地进行日志分析、网络流量监控和故障排除。 本文将模拟一个运维场景,展示如何对IP地址进行排序,并探…

Mongodb使用$pop删除数组中的元素

学习mongodb,体会mongodb的每一个使用细节,欢迎阅读威赞的文章。这是威赞发布的第67篇mongodb技术文章,欢迎浏览本专栏威赞发布的其他文章。如果您认为我的文章对您有帮助或者解决您的问题,欢迎在文章下面点个赞,或者关…