【华为HCNA】访问控制列表ACL实例配置
ACL的概念
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
应用场景
在小型企业的网络中,现要求只有经理的PC(源地址是192.168.2.1)才能访问互联
实验目的
允许主机B(经理的PC)访问互联网,禁止主机A访问互联网
网络拓扑图如下:
操作步骤
一、配置端口类型以及ip地址
[SW1]vlan batch 10 20 30 //创建VLAN
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access //设置端口类型
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 20
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24
[SW1]interface Vlanif 20
[SW1-Vlanif10]ip address 192.168.2.254 24
[SW1]interface Vlanif 30
[SW1-Vlanif30]ip address 192.168.16.1 24
##################################################
[AR6]interface GigabitEthernet 0/0/0
[AR6-GigabitEthernet0/0/1]ip address 192.168.16.6 24
[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]ip address 200.1.1.1 24
##################################################
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip address 200.1.1.2 24
PC6和PC7配置ip和网关
二、配置静态路由,实现全网互通
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.16.6
[AR6]ip route-static 0.0.0.0 0.0.0.0 192.168.16.1
[R3]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
在PC6和PC7上测试是否能访问R3
现象:PC6和PC7都能访问R3
三、实现主机B(经理的PC)访问互联网,本案例中R3代替互联网。在AR6上做ACL
[AR6]acl 2000
[AR6-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
查询ACL与接口的绑定情况
在主机A上ping互联网ip,发现不通,即ACL禁止了主机A的流量访问互联网,同时允许主机B(经理的PC)可以访问互联网
测试:主机A和主机B访问互联网的情况,如下图。
现象: 实现了最终的效果。
更多资讯,请关注×××公众号“广州华尔思网络实验室”动态信息。
资源来源:广州华尔思网络实验室 【官网:www.gzwallslab.net】
学习群: 广州华尔思学习群 543623993 【可以在QQ群里下载到PDF版文件】
广州华尔思学习群 2群 518216801【可以在QQ群里下载到PDF版文件】
原文地址:http://blog.51cto.com/aiping/2082917