一、拓扑图
二、路由器的配置
1、先配置全网通
AP1:
[Huawei]interface gigabitether 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.3.254 24
[Huawei-GigabitEthernet0/0/0]interface gigabitether 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/1]interface gigabitether 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/2]interface gigabitether 4/0/0
[Huawei-GigabitEthernet4/0/0]ip address 1.1.1.1 24
[Huawei-GigabitEthernet4/0/0]quit AP2:
<Huawei>system-view
[Huawei]interface gigabitether 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.2 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
#配置一条默认路由指向对方路由器2、配置ACL
AP1:
[Huawei]acl 3000
#启用编号为3000的ACL
[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 19
2.168.3.1 0.0.0.0
#定义acl规则, 规则号10、拒绝、192.168.1.0网段+反掩码、访问192.168.3.1+掩码(因为是唯一地址所以掩码设0.0.0.0)
[Huawei-acl-adv-3000]rule 20 permit ip source 192.168.2.0 0.0.0.255 destination
192.168.3.1 0.0.0.0
#定义acl规则, 规则号20、允许、192.168.2.0网段+反掩码、访问192.168.3.1+掩码
[Huawei-acl-adv-3000]rule 30 deny ip source any destination 192.168.3.1 0.0.0.0
#定义acl规则, 规则号30、拒绝、所有网段(针对Internet)、访问192.168.3.1+掩码
[Huawei-acl-adv-3000]quit
[Huawei]interface gigabitether 0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
#将acl应用到接口上
三、测试ACL配置
1、将PC的IP配好(例PC1其它省略)
2、未配置ACL前全网通(例PC1 ping Internet,其它省略)
3、配置好ACL后,再次ping通测试
生产部已不可访问财务服务器,但还是可以访问Internet
总裁办公室可以访问财务服务器,可以访问Internet
Internet不可以访问财务服务器
四、注意
1、当配置acl时,如果是固定ip地址,反掩码要设置为0.0.0.0(或简写为0)
2、配置好acl后一定要记得应用到端口上
五、ACL简介
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
4644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
