华为ACL综合应用详解

在企业当中需要实现对流量的过滤,ACL就是必须要使用的,
本文为大家详细介绍华为acl的综合应用。

实验要去如下:

实验要求:
1.R1只允许IT登录;
2.YF和CW之间不能互通,但都可以与IT互通;
3.IT和YF可以访问Client1;
4.CW不能访问Client1;
5.YF和CW只能访问Server1的WWW服务;
6.只有IT才能访问Server1的所有服务。

实验分析如下:

CW
1.YF和CW之间不能互通,但都可以与IT互通;
2.CW不能访问Client1;
3.CW只能访问Server1的WWW服务;
YF
1.YF和CW之间不能互通,但都可以与IT互通;
2.YF可以访问Client1;
3.YF只能访问Server1的WWW服务;
IT
1.R1只允许IT登录;
2.IT可以访问Client1;
3.只有IT才能访问Server1的所有服务。

     基本网络配置如下:

R1
sysname R1
interface GigabitEthernet0/0/0
ip address 1.1.1.254 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.12.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 192.168.13.1 255.255.255.0
ip route-static 192.168.10.0 255.255.255.0 192.168.12.2
ip route-static 192.168.20.0 255.255.255.0 192.168.12.2
ip route-static 192.168.30.0 255.255.255.0 192.168.13.2
ip route-static 192.168.40.0 255.255.255.0 192.168.13.2
R2
sysname R2
interface GigabitEthernet0/0/0
ip address 192.168.12.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.10.254 255.255.255.0
interface GigabitEthernet0/0/2
ip address 192.168.20.254 255.255.255.0
traffic-filter inbound acl 3000
ip route-static 0.0.0.0 0.0.0.0 192.168.12.1
R3
sysname R3
interface GigabitEthernet0/0/0
ip address 192.168.13.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.30.254 255.255.255.0
traffic-filter inbound acl 3000
interface GigabitEthernet0/0/2
ip address 192.168.40.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.13.1

ACL配置如下:

财务部ACL设置
R3
acl name cw
rule 10 deny ip source 192.168.30.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
rule 20 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 30 permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www
rule 40 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0
interface GigabitEthernet0/0/1
traffic-filter inbound acl name cw
研发部ACL设置
R2
acl name yf
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 20 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www
rule 30 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
interface GigabitEthernet0/0/2
traffic-filter inbound acl 3name yf
IT部ACL设置
R1
acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255
user-interface vty 0 4
acl 2000 inbound
authentication-mode password
123
acl number 3000
rule 10 permit tcp source 1.1.1.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 destination-port eq www
rule 20 deny ip source 1.1.1.0 0.0.0.255 destination 192.168.40.1 0
interface GigabitEthernet0/0/0
traffic-filter inbound acl 200

最后进行验证即可!!!!!!

原文地址:https://blog.51cto.com/11806823/2439469

时间: 2024-08-26 17:17:37

华为ACL综合应用详解的相关文章

华为交换机配置命令详解

1:配置华为交换机的ssh登录方式 1:user-interface vty 0 4           配置终端连接数 //VTY 的意思是虚拟终端连接.也就是远程用户登录后会占用VTY的一个进程.而登录信息的验证方式也是配置在vty中.vty 0 4 后边的04 代表0-4个用户也就5个用户      2:authentication-mode  aaa      配置认证参数        组网需求 如图13-1所示,企业希望管理员能简单方便并且安全地远程管理设备,可以配置管理员通过Tel

华为交换机MSTP综合实验详解

在网络部分理论知识的学习过程中,MSTP(即多实例生成树)属于比较难掌握的知识点,本实验为大家介绍MSTP综合实验讲解,实验要求和拓扑如下. 实验要求:1.Client1属于vlan10,Client2属于vlan20,Server1属于vlan30:2.vlan10.vlan20.vlan30的网关在SW3上:3.实现Client1和Client2访问Server1时,流量负载均衡且路径最优. 实验拓扑如下图: 第一步:在SW1.SW2.SW3上面配置基本网络. SW1配置sysname SW

华为三层交换机VRRP与DHCP综合实验详解

本知识重点考核大家对VRRP.DHCP掌握情况,实验要求如下: 实验要求: 1.SW1为vlan 10的主网关,vlan 20的备份网关: 2.SW2为vlan 20的主网关,vlan 10的备份网关: 3.DHCP服务器在vlan 66,网关在SW2上面: 4.PC1.PC2自动获取ip地址且可以互相ping通. 实验拓扑图如下: 第一步,进行基本网络配置,配置步骤及命令如下: SW1上配置如下命令: sysname SW1vlan batch 10 20 66interface Gigabi

华为MSTP、VRRP与DHCP综合项目详解

本实验重点考核大家对MSTP.VRRP.DHCP掌握情况,实验要求如下: 实验要求:1.VLAN 10和vlan 20流量负载均衡:2.SW1为vlan 10的主网关,vlan 20的备份网关:3.SW2为vlan 20的主网关,vlan 10的备份网关:4.DHCP服务器在vlan 66,网关在SW2上面:5.PC1.PC2自动获取ip地址且可以互相ping通. 实验拓扑如下: 第一步,MSTP配置如下: SW1sysname SW1vlan batch 10 20 66interface G

思科路由器ipsec lan-to-lan综合案例详解

在IPsecVPN范畴的VPN中,有多种形式的VPN,各形式的VPN因为架构和使用环境的不同而不同,但在IPsecVPN范畴内的各VPN中,都是以IPsec为基础的,在本小节中要讲到的是IPsecVPN之LAN-to-LANVPN,有时也被称为Site-to-SiteVPN,该形式的VPN是IPsecVPN中最简单的VPN,但并不代表该形式的VPN是最常用的. 在配置IPsecVPN范畴的VPN时,无论配置哪种形式,基本上需要如下几个重要步骤: 配置IKE(ISAKMP)策略 定义认证标识 配置

华为,NAT配置详解

实验拓扑 PC1属于VLAN10,PC2属于VLAN20 PC1 IP:192.168.10.254/24                 R1 G0/0/0 IP:12.0.0.1/24 PC2 IP:192.168.20.254/24                 R2 G0/0/0 IP: 12.0.0.2/24 SW1 VLAN1 IP:192.168.1.10/24 SW2 VLAN1 IP:192.168.1.20/24 实验内容 R1模拟内网出口路由,R2模拟运营商设备 1.在R

标准ACL、扩展ACL和命名ACL的配置详解

访问控制列表(ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝. 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息.如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的. ACl是一组规则的集合,它应用在路由器的某个接口上.对路由器接口而言,访问控制列表有两个方向. 出:已经过路由器的处理,正离开路由器的数据包. 入:已到

华为交换机端口vlan详解

华为交换机和其他品牌的交换机在端口的vlan划分上有一些区别,本文将介绍华为交换机的端口vlan属性. 按照IEEE802.1Q标准,vlan帧的格式如下: 此处的Tag就是vlan tag,即我们常说的vlan标签,具体含义如下: ①TPID为固定值0x8100,表明加了一个vlan标签 ②PRI为优先级,0~7 ③CFI,取0表示为规范格式,取1表示非规范格式 ④vlan ID为vlan号,取值范围1-4094 首先提一个概念,即PVID(Port Vlan ID),这是端口的一个基本属性,

华为路由器BGP邻居详解

本篇文章为大家分享下华为路由BGP邻居的建立,主要包括三部分类容: BGP配置一:非直连邻居: BGP配置二:IBGP通过回环口建立邻居: BGP配置三:EBGP通过回环口建立邻居. 基本网络配置: R1sysname R1interface g0/0/0ip address 192.168.12.1 24interface LoopBack 0ip address 10.10.1.1 24quitR2sysname R2interface g0/0/1ip address 192.168.12