12.3.1 基本ACL
1、实验需求
- 掌握ACL的配置方法
- 掌握ACL在接口下的应用方法
- 掌握流量过滤的基本方式
2、实验拓扑
实验拓扑如图12-6所示
图12-6基本ACL
- 实验步骤
(1)PC机的IP地址配置
PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。PC2、sever同理PC1的配置如图12-7所示:
图12-7在PC1上手动添加IP地址
PC2的配置如图12-8所示:
图12-8在PC2上手动添加IP地址
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。
<Huawei>system-view
[Huawei]sysname LSW1
[LSW1]undo info-center enable
[LSW1]vlan batch 10 20
[LSW1]interface g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1-GigabitEthernet0/0/2]quit
[LSW1]interface g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type trunk
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20
[LSW1-GigabitEthernet0/0/3]quit
(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname R1
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]undo shutdown
[R1-GigabitEthernet0/0/1]quit
[R1]interface g0/0/1.10
[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24
[R1-GigabitEthernet0/0/1.10]arp broadcast enable
[R1-GigabitEthernet0/0/1.10]quit
[R1]interface g0/0/1.20
[R1-GigabitEthernet0/0/1.20]dot1q termination vid 20
[R1-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24
[R1-GigabitEthernet0/0/1.20]arp broadcast enable
[R1-GigabitEthernet0/0/1.20]quit
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/0]undo shutdown
[R1-GigabitEthernet0/0/0]quit
(4)Server的配置如图12-9所示:
图12-9在server上手动添加IP地址
(5)测试PC1是否可以访问server,结果如图12-10所示:
图12-10 PC1上显示的ping程序测试信息
通过以上输出可以看到PC1能访问server
(6)测试PC2是否可以访问server,测试结果如图12-11所示:
图12-11 PC2上显示的ping程序测试信息
通过以上输出可以看到PC2也可以访问server
(7)在R1上配置基本的ACL
[R1]acl 2000 // 创建ACL编号为2000
[R1-acl-basic-2000]rule 10 deny source 192.168.20.0 0.0.0.255 //拒绝192.168.20.0网段
[R1-acl-basic-2000]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作
[R1-GigabitEthernet0/0/1]quit
【技术要点】
基本acl配置过程及参数详解
1、创建基本ACL
[Huawei] acl [ number ] acl-number [ match-order config ]
acl-number:指定访问控制列表的编号。
match-order config:指定ACL规则的匹配顺序,config表示配置顺序。
2、配置基本ACL规则
[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ]
rule-id:指定ACL的规则ID。
deny:指定拒绝符合条件的报文。
permit:指定允许符合条件的报文。
source { source-address source-wildcard | any }:指定ACL规则匹配报文的源地址信息。如果不配置,表示报文的任何源地址都匹配。其中:
source-address:指定报文的源地址。
source-wildcard:指定源地址通配符。
any:表示报文的任意源地址。相当于source-address为0.0.0.0或者source-wildcard为255.255.255.255。
time-range time-name:指定ACL规则生效的时间段。其中,time-name表示ACL规则生效时间段名称。如果不指定时间段,表示任何时间都生效。
3、traffic-filter命令用来在接口上配置基于ACL对报文进行过滤。Inbound为针对接口入方向进行流量过滤,outbound为针对接口出方向流量进行过滤。
在接口下执行本命令,设备将会过滤匹配ACL规则的报文:
若报文匹配的规则的动作为deny,则直接丢掉该报文。
若报文匹配的规则的动作为permit,则允许该报文通过。
若报文没有匹配任何一条规则,则允许该报文通过。
4、实验调试
(1)测试PC1是否可以访问服务器,结果如图12-12所示:
图12-12 PC1上显示的ping程序测试信息
通过以上输出可以看到PC1不可以访问server
(2)测试PC2是否可以访问服务器,结果如图12-13所示:
图12-13 PC2上显示的ping程序测试信息
通过以上输出可以看到PC2可以访问server1,实验结束
【技术要点】
华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。
思考:如果只拒绝PC2访问服务器,基本的ACL应该怎么配置?
?
本文出自作者的《HCIA Datacom学习指南》
https://item.jd.com/14032255.html
在文章最后加作者VX:可以免费领取以下资料