华为ACL实验配置

ACL： Access Control List，访问控制列表

主要作用：控制网络访问行为，结合其他技术匹配网络流量的范围。

• 实验1： ACL快速配置

拒绝PC1 访问PC3
acl  3000  创建ACL 3000
 rule deny ip source 1.1.1.1 0 destination 3.3.3.3 0 
创建规则拒绝源IP为1.1.1.1目标IP为3.3.3.3的报文

interface GigabitEthernet0/0/0
 traffic-filter inbound acl 3000
在Gi0/0/0接口的入方向调用ACL 3000

• 实验2：200人园区网案例

需求：

1 PC1、PC3 自动获取ip地址。

2 配置静态路由使得全网互通。

3 R2上面启用Telnet服务，方便远程管理。

用户名：aa 密码：Huawei@123

4 拒绝财务部和市场部用户互访。

5 在R2上配置ACL仅允许PC5 远程telnet控制。

6 在R2上配置ACL拒绝PC2 访问Server1 的HTTP服务，但可以ping通。

7 在R1上配置ACL拒绝PC4 ping Server1 但可以访问其HTTP服务。

拓扑描述：

1 R1 作为所有PC的网关。

2 财务部用户：192.168.1.0/24

市场部用户：192.168.2.0/24

server1:HTTP 服务器地址为7.7.7.7/24

PC2:192.168.1.2

PC4:192.168.2.2

PC5:（由路由器模拟）192.168.1.3

注意事项：模拟器中路由器Router 配置ACL不生效，需采用AR2220配置。

步骤：

1 配置接口地址

略

2 配置静态路由和DHCP

R1:
DHCP:
dhcp enable 

interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
 dhcp select interface
#
interface GigabitEthernet0/0/1
 ip address 192.168.2.254 255.255.255.0 
 dhcp select interface

R1:
ip route-static 0.0.0.0 0 12.1.1.2
R2:
ip route-static 192.168.1.0 255.255.255.0 12.1.1.1
ip route-static 192.168.2.0 255.255.255.0 12.1.1.1

3 R2上启用Telnet服务

R2:
aaa
  local-user aa privilege level 2 password cipher Huawei@123
  local-user aa service-type telnet

user-interface vty 0 4
 authentication-mode aaa

4 拒绝财务部和市场部互访

R1:
acl number 3005  
 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 

acl number 3006  
 rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 

interface GigabitEthernet0/0/0
 traffic-filter inbound acl 3005
 #
interface GigabitEthernet0/0/1
  traffic-filter inbound acl 3006

5 R2上配置ACL仅允许PC5 远程telnet控制

R2:
acl number 3010  
 rule 5 permit ip source 192.168.1.3 0 
 rule 10 deny ip (选配）

user-interface vty 0 4
 acl 3010 inbound

注意：acl 调用在vty 接口下，用来匹配范围，默认拒绝所有。

6 在R2上配置ACL拒绝PC2访问Server1 的HTTP服务，但可以ping通

acl number 3011  
 rule 5 deny tcp source 192.168.1.2 0 destination 7.7.7.7 0 destination-port eq www

int gi 0/0/1
   traffic-filter outbound acl 3010

7 在R1上配置ACL拒绝PC4 ping Server1 但可以访问其HTTP服务。

acl number 3006  
  rule 10 deny icmp source 192.168.2.2 0 destination 7.7.7.7 0 

调试命令：dis acl all