与ACL的初次见面--实验

实验1：

目的：拒绝1.0网段访问
PC1：192.168.1.1/24 网关：192.168.1.254
PC2：192.168.2.1/24 网关：192.168.2.254
步骤：
AR6
Huawei]sysname AR6
[AR6]inter gi0/0/0
[AR6-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR6-GigabitEthernet0/0/0]q
[AR6]inter gi0/0/1
[AR6-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[AR6-GigabitEthernet0/0/1]q
[AR6]rip
[AR6-rip-1]version 2
[AR6-rip-1]network 192.168.1.0
[AR6-rip-1]network 192.168.12.0
AR7
<Huawei>sys
[Huawei]sysname AR7
[AR7]inter gi0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[AR7-GigabitEthernet0/0/0]q
[AR7-GigabitEthernet0/0/1]ip add 192.168.23.1 24
[AR7-GigabitEthernet0/0/1]q
[AR7]rip
[AR7-rip-1]version 2
[AR7-rip-1]network 192.168.12.0
[AR7-rip-1]network 192.168.23.0
[AR7]display ip routing-table
AR11
<Huawei>sys
Huawei]sysname AR11
[AR11]inter gi0/0/0
[AR11-GigabitEthernet0/0/0]ip add 192.168.23.2 24
[AR11-GigabitEthernet0/0/0]q
[AR11]inter gi0/0/1
[AR11-GigabitEthernet0/0/1]ip add 192.168.34.1 24
[AR11-GigabitEthernet0/0/1]q
[AR11]rip
[AR11-rip-1]version 2
[AR11-rip-1]network 192.168.23.0
[AR11-rip-1]network 192.168.34.0
AR10
<Huawei>sys
[Huawei]sysname AR10
[AR10]inter gi0/0/0
[AR10-GigabitEthernet0/0/0]ip add 192.168.34.2 24
[AR10-GigabitEthernet0/0/0]q
[AR10]inter gi0/0/1
[AR10-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR10-GigabitEthernet0/0/1]q
[AR10]rip
[AR10-rip-1]version 2
[AR10-rip-1]network 192.168.34.0
[AR10-rip-1]network 192.168.2.0
验证是否可以通

AR6
[AR6]acl 2000 设置基本acl
[AR6-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 规则10 拒绝源ip1.0网段所有 通配符
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用命令2000
验证：

实验二：

连接交换机（交换机可以连接多台电脑，路由器只能连接一台电脑） 加三台主机
要求：只允许PC1与PC2拼通
环境：
PC3：192.168.1.3/24 网关192.168.1.254
PC4：192.168.1.4/24
PC5：192.168.1.5/24
思路：1.仅仅允许PC1，拒绝所有
2.明确拒绝其他三台，允许所有
在实验一的基础上开始实验二，那应先撤销对AR6入端口的acl设置
[AR6]inter gi 0/0/0
[AR6-GigabitEthernet0/0/0]undo traffic-filter inbound 端口的调用命令要删掉，以免日后启用这个端口报错
[AR6]undo acl 2000 删掉acl

[AR6]acl 2000 配置基本acl
[AR6-acl-basic-2000]rule 10 permit source 192.168.1.1 0.0.0.0 规则为10 只允许1.1
[AR6-acl-basic-2000]rule 20 deny source 192.168.1.0 0.0.0.255 规则为20 拒绝1.0所有
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用acl2000
[AR6-GigabitEthernet0/0/0]q
[AR6]display acl all 查看已配置的acl
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 2 rules
Acl‘s step is 5
rule 10 permit source 192.168.1.1 0
rule 20 deny source 192.168.1.0 0.0.0.255
验证PC1与PC2可拼通
PC1与PC2不可拼通

实验三
要求：基于实验1的基础 PC1不可拼通AR11 但可远程
[AR11]acl 3000 配置高级acl
[AR11-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 规则5（随便配置编号）拒绝1.1网络的PIN命令
[AR11]interface gi0/0/0
[AR11-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 调用acl3000
[AR11-GigabitEthernet0/0/0]q
[AR11]user-interface vty 0 4 因为要验证远程因此给被远程的机器配置密码以供验证
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):123
LSW1：
[Huawei]interface vlanif 1 给交换机2配置ip地址（模拟器中的pc机没有远程的功能，因此我们用交换机来代替）
[Huawei-Vlanif1]ip add 192.168.1.5 24
[Huawei-Vlanif1]q
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 给交换机（有路由功能，安排一条出去的路径）
验证：

实验四：
要求：允许1.0网段远程AR11，其他网段都不可以
第一步：基于实验3，删掉AR11的acl3000，进入端口删掉traffic
[AR11]acl 2001 设置基本acl
[AR11-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 允许1.0网段访问
[AR11-acl-basic-2001]q
[AR11]user-interface vty 0 4
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):1234
[AR11-ui-vty0-4]acl 2001 inbound 在虚拟接口上用这条调用命令后，其他默认是拒绝
验证：分别LW1远程11 AR7远程11

实验五：
要求：1.1，1.3，1.5，1.7拒绝访问pc2 其他可以
基于实验四，[AR11]undo acl 2001
思路：1.找公共部分，相同位直接写，不同位变成0
1 0000 0001
3 0000 0011
5 0000 0101
7 0000 0111
可变量只有最后一部分的两个字节
公共部分192.168.1.00000001=192.168.1.1
2.确认通配符：通配符与公共ip地址是一一对应的；在通配符中，与公共ip地址中不变的位对应的位置写0，
反之写1
0.0.0.00000110==>0.0.0.6
配置：
[AR6]acl 3001
[AR6-acl-adv-3001]rule 10 deny icmp source 192.168.1.1 0.0.0.6 destination 192.168.2.1 0.0.0.0 拒绝从公共部分为192.168.1.1（推演过程如上）的客户端拼到192.168.2.1的服务器
验证：

原文地址：http://blog.51cto.com/13721786/2116320