华为配置ACL——小型公司案例实验

今天主要说一下关于ACL的知识,初次接触,如有不足,请各位大神提出宝贵意见,谢谢。
**ACL:Access Control List 访问控制列表
-定义:是用来实现流量识别功能的。
-作用:网络设备为了对特定的报文进行操作,需要配置一系列的匹配规则,以识别 出特定的报文,然后根据预先设定的策略对该报文进行操作。(可以简单的 理解为匹配感兴趣的流量)
-实现:
1.制定规则
2.规定动作(允许/拒绝)

  1. 事件(例如:在某个端口下实施acl的配置内容)
    -类型:
    --标准ACL/基本ACL
    --扩展ACL/高级ACL
    配置思路:
    1.确保现有网络的连通性
    2.查看现有的ACL
    3.创建ACL
    4.调用ACL
    5.验证、测试、保存

下面为大家带来一个小小的拓扑实际性的操作一下

实验目的:PC1与PC3不通,但PC1和PC3都和PC2、PC4互通

实验拓扑:

地址规划:

设备 IP地址及子网 网关
PC1 192.168.10.1/24 192.168.10.254
PC2 192.168.20.2/24 192.168.20.254
PC3 192.168.30.3/24 192.168.30.254
PC4 192.168.40.4/24 192.168.40.254

实验步骤:

1.配置设备IP地址




2.配置网关

R1:
<Huawei>system\进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1\修改名字
[R1]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[R1]interface Vlanif 10\进入虚拟端口
[R1-Vlanif10]undo shutdown \开启虚拟端口
Info: Interface Vlanif10 is not shutdown
[R1-Vlanif10]ip address 192.168.10.254 255.255.255.0\创建虚拟网关
[R1-Vlanif10]q\退出
[R1]interface Vlanif 20\进入虚拟端口
[R1-Vlanif20]undo shutdown \虚拟端口
Info: Interface Vlanif20 is not shutdown.
[R1-Vlanif20]ip address 192.168.20.254 255.255.255.0\创建虚拟网关
[R1-Vlanif20]q\退出
[R1]interface Vlanif 50\进入虚拟端口
[R1-Vlanif50]undo shutdown \开启端口
Info: Interface Vlanif50 is not shutdown.
[R1-Vlanif50]ip address 192.168.50.1 255.255.255.0\创建虚拟IP
[R1-Vlanif50]q\退出
[R1]interface GigabitEthernet 0/0/1\进入端口
[R1-GigabitEthernet0/0/1]port link-type trunk \配置链路模式trunk
[R1-GigabitEthernet0/0/1]port trunk allow-pass vlan all\允许所有vlan通过
[R1-GigabitEthernet0/0/1]q\退出
[R1]interface GigabitEthernet 0/0/2\进入端口
[R1-GigabitEthernet0/0/2]port link-type trunk \配置链路模式trunk
[R1-GigabitEthernet0/0/2]port trunk allow-pass vlan all\允许所有vlan通过
[R1-GigabitEthernet0/0/2]q\退出
R2:
<Huawei>system-view \进入到系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2\修改名字
[R2]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[R2]interface Vlanif 30\进入虚拟端口
[R2-Vlanif30]undo shutdown \开启虚拟端口
Info: Interface Vlanif30 is not shutdown.
[R2-Vlanif30]ip address 192.168.30.254 255.255.255.0\创建虚拟网关
[R2-Vlanif30]q\退出
[R2]interface Vlanif 40\进入虚拟端口
[R2-Vlanif40]undo shutdown \开启虚拟端口
Info: Interface Vlanif40 is not shutdown.
[R2-Vlanif40]ip address 192.168.40.254 255.255.255.0\创建虚拟网关
[R2-Vlanif40]q\退出
[R2]interface Vlanif 50\进入虚拟端口
[R2-Vlanif50]undo shutdown \开启虚拟端口
Info: Interface Vlanif50 is not shutdown.
[R2-Vlanif50]ip address 192.168.50.2 255.255.255.0\创建虚拟IP
[R2-Vlanif50]q\退出
[R2]interface GigabitEthernet 0/0/2\进入端口
[R2-GigabitEthernet0/0/2]port link-type trunk \配置链路方式trunk
[R2-GigabitEthernet0/0/2]port trunk allow-pass vlan all\允许所有vlan通过
[R2-GigabitEthernet0/0/2]q\退出
[R2]interface GigabitEthernet 0/0/1\进入端口
[R2-GigabitEthernet0/0/1]port link-type trunk \配置链路方式trunk
[R2-GigabitEthernet0/0/1]port trunk allow-pass vlan all\允许所有vlan通过
[R2-GigabitEthernet0/0/1]q\退出

3.配置交换机,创建vlan配置链路方式并将端口加入到vlan

sw1:
<Huawei>system-view\进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname sw1\修改名字
[ sw1]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[ sw1]interface GigabitEthernet 0/0/1进入端口
[ sw1-GigabitEthernet0/0/1]port link-type access \配置链路模式access
[ sw1-GigabitEthernet0/0/1]port default vlan 10\将端口加入VLAN
[ sw1-GigabitEthernet0/0/1]q\退出
[ sw1]interface GigabitEthernet 0/0/2 \进入端口
[ sw1-GigabitEthernet0/0/2]port link-type access \配置链路模式access
[ sw1-GigabitEthernet0/0/2]port default vlan 20\将端口加入VLAN
[ sw1-GigabitEthernet0/0/2]q\退出
[ sw1]interface GigabitEthernet 0/0/3 \进入端口
[ sw1-GigabitEthernet0/0/3]port link-type trunk \配置链路模式trunk
[ sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all\允许所有vlan通过
[ sw1-GigabitEthernet0/0/3]q\退出
[ sw1]
sw2:

<Huawei>system-view \进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname sw2\修改名字
[sw2]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[sw2]interface GigabitEthernet 0/0/1\进入端口
[sw2-GigabitEthernet0/0/1]port link-type trunk \配置链路模式trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all\允许所有vlan通过
[sw2-GigabitEthernet0/0/1]q\退出
[sw2]interface GigabitEthernet 0/0/2 \进入端口
[sw2-GigabitEthernet0/0/2]port link-type access \配置链路模式access
[sw2-GigabitEthernet0/0/2]port default vlan 30\将端口加入vlan
[sw2-GigabitEthernet0/0/2]q\退出
[sw2]interface GigabitEthernet 0/0/3\进入端口
[sw2-GigabitEthernet0/0/3]port link-type access \配置链路模式access
[sw2-GigabitEthernet0/0/3]port default vlan 40\将端口加入vlan
[sw2-GigabitEthernet0/0/3]q\退出
[sw2]

4.配置rip保证全网互通

R1:
[R1]rip\配置rip协议
[R1-rip-1]version 2\选择版本2
[R1-rip-1]network 192.168.10.0\宣告网络范围
[R1-rip-1]network 192.168.20.0\宣告网络范围
[R1-rip-1]q\退出
[R1]
R2:
[R2]rip \配置rip协议
[R2-rip-1]version 2\选择版本2
[R2-rip-1]network 192.168.30.0\宣告网络范围
[R2-rip-1]network 192.168.40.0\宣告网络范围
[R2-rip-1]q\退出
此时,验证一下是否全网互通,以PC1为例:


5.创建ACL

创建acl可以在任何一个接口,在本次试验中是让PC1和PC3不通,其他网络互通,所以我选择在sw1创建ACL,如下:
[R2]acl name denypc1-3 \创建acl并命名
[R2-acl-adv-denypc1-3]rule deny ip source 192.168.10.1 0.0.0.0 destination 192.1
68.30.3 0.0.0.0\规定动作确定源和目标
[R2-acl-adv-denypc1-3]q\退出

6.调用ACL

[R2]interface GigabitEthernet 0/0/2\进入端口
[R2-GigabitEthernet0/0/2]traffic-filter outbound acl name denypc1-3\调用Acl
[R2-GigabitEthernet0/0/2]q\退出

7.验证、测试、保存

验证:

测试:
PC1:
测试与PC2连通性:

测试与PC4连通性:

测试与PC3连通性:

PC3:
测试与PC2连通性:

测试与PC4连通性:

测试与PC1连通性:

实验完成,完成实验目的。

注意:

ACL对设备本身发起的流量,是不起作用的。

ACL对设备的穿越流量,是起作用的。

操作比较简单,我尽可能把每一步的步骤操作介绍清楚,希望大家可以理解。

原文地址:http://blog.51cto.com/13557013/2061830

时间: 2024-10-28 11:25:46

华为配置ACL——小型公司案例实验的相关文章

小型公司案例-配置OSPF实现不连续区域网络通信

在网络中如果出现了不连续区域,该如何实现通信呢?今天我就给大家简单说一下. 实验名称:小型公司案例-配置OSPF实现不连续区域网络通信 实验目的:配置OSPF实现不连续区域网络的通信功能 实验拓扑: 地址规划: 设备 IP地址及掩码 PC1 192.168.10.1/24 PC2 192.168.60.1/24 PC3 192.168.50.1/24 设备 端口 IP地址及掩码 所属区域 R1 GI 0/0/0 192.168.12.1/24 区域12 R1 GI 0/0/1 192.168.1

华为拓扑--小型公司案例实施和思路

拓扑图:需求:PC4与PC5不可通,其余全网互通思路:交换机创建各自需要的的vlan与交换机1相连的两台PC机为access与交换机2相连的四台PC机为hybrid在两台路由器配置单臂路由和默认路由配置:手动设置五台PC机的IP,网关和子网掩码.LSW1:[Huawei]sysname SW1 #修改设备名字为SW1[SW1]vlan batch 10 20 #创建vlan10 和vlan20[SW1]interface GigabitEthernet 0/0/1 #进入该端口[SW1-Giga

思科拓扑--小型公司案例实施和思路。

一.实验案例 二.配置拓扑图 三.实验目的1.划分一下公司所需要使用的子网网段和子网掩码2.让三层交换机实现dhcp和路由功能3.让二层交换机划分vlan10.vlan20.vlan30. vlan404.实现底层pc机能够使用dhcp划分的网段ip 四.子网划分思路1.首先确定每个vlan需要的主机数量,从主机数量最多的开始分配ip段2.(1)Vlan20需要90台主机,因此首先要划分vlan20的子网,vlan20至少需要90+2的主机位,因此至少要使用主机位后7位,也就是128个主机位,空

小型公司案例 -- 局域网故障排查

查找该案例中的错,实现全网互通. 该案例中一共九处错误: 1.PC0与PC1不再同一网段. PC0: PC1: 2.SW1的Fa0/1口没做access链路. 3.SW1的Fa0/23口没有允许Vlan 10通过 4.SW2上Fa0/23口没有允许Vlan 10通过 5.SW2上Fa0/22,Fa0/24口没有做trunk链路 6.SW3上Fa0/1口没有开启,也没有做access链路 7.SW3上Fa0/22口,Fa0/23口的链路捆绑组和SW2上不一致 8.SW2上没有创建Vlan 10 9

华为配置RIP实现全网互通

实验名称:华为配置RIP实现全网互通实验目的:配置RIP实现全网互通实验拓扑:实验需求:两台PC机,四台路由器实验步骤: 配置pc机 配置路由器接口IPR1:<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname R1[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]undo shutdown Info: Interface Gig

简单的模拟小型公司网络配置实验

实验名称: 简单的模拟小型公司的构建网络配置实验实验要求:1.R1\R2\R3分别连接不同的楼宇 A\B\C2.楼宇A .#存在 VLAN 10 .vlan 20 . vlan 30 网段为: 192.168.10.0/24192.168.20.0/24192.168.30.0/24#PC-1/3 属于 vlan 10 ,自动获取ip地址:#pc-2/4 属于 vlan 20 ,自动获取ip地址:#sw5作为 DHCP 服务器,属于 vlan 30:#sw1与sw5 的弧线端口的模式为 hybr

小型公司访问web服务器案例

今天主要给大家带来一个小型公司的网络搭建,保证每一台计算机都可以访问www.ntd1711.com. 实验名称:小型公司网络的搭建 实验拓扑:实验目的:确保每个终端可以访问www.ntd1711.com(192.168.30.88)地址规划: 设备 IP地址及子网掩码 所属vlan 网关 PC1 192.168.10.1/24 VLAN10 192.168.10.254 PC2 192.168.20.2/24 VLAN20 192.168.20.254 PC3 192.168.10.3/24 V

小型公司网络组建及WEB服务配置及DNS解析

实验名称:小型公司网络组建及WEB服务配置及DNS解析实验拓扑:所需设备:1.5台三层交换机(路由器也OK) 2. 1台DNS服务器 3. 1台WEB服务器 4. 5台PC机 5. 一台客户端 client 1 地址规划:设备 IP地址及子网掩码 所属vlan 网关 DNS PC1 |192.168.1.1|/24 |VLAN10 |192.168.1.254| 192.168.3.1| PC2 |192.168.2.2|/24 |VLAN20 |192.168.2.254| 192.168.3

华为 eNSP 配置 ACL 扩展

ACL 基本扩展 1.实验拓扑: 使用ENSP模拟器(版本V100R002C00 1.2.00.350) 2.实验需求 1:给R1做一个dhcp地址池 2:做基本的和扩展的NAT 3:用vm8绑在2008上 3.实验配置 给网卡设ip 基本 [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip add 192.168.10.1 24 [Huawei-GigabitEthernet0/0/1]int g0/0/0 [Huawei-GigabitEth