eNSP中ACL访问控制表的配置和使用

一、拓扑图

1.新建拓扑图

2.PC端配置

PC1:

PC2:

PC3:

二、基本命令配置

1.S1配置

<Huawei>system-view

[Huawei]sysname S1

[S1]vlan 10

[S1-vlan10]vlan 20

[S1-vlan20]vlan 30

[S1-vlan30]quit

[S1]interface Vlanif 10

[S1-Vlanif10]ip address 192.168.10.254 24

[S1-Vlanif10]quit

[S1]interface Vlanif 20

[S1-Vlanif20]ip address 192.168.20.254 24

[S1-Vlanif20]quit

[S1]interface Vlanif 30

[S1-Vlanif30]ip address 192.168.30.254 24

[S1-Vlanif30]quit

[S1]interface GigabitEthernet 0/0/1

[S1-GigabitEthernet0/0/1]port link-type trunk

[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan all

2.S2配置

<Huawei>system-view

[Huawei]sysname S2

[S2]vlan batch 10 20 30

[S2]interface Ethernet 0/0/1

[S2-Ethernet0/0/1]port link-type trunk

[S2-Ethernet0/0/1]port trunk allow-pass vlan all

[S2-Ethernet0/0/1]quit

[S2]interface Ethernet 0/0/2

[S2-Ethernet0/0/2]port link-type access

[S2-Ethernet0/0/2]port default vlan 10

[S2-Ethernet0/0/2]quit

[S2]interface Ethernet 0/0/3

[S2-Ethernet0/0/3]port link-type access

[S2-Ethernet0/0/3]port default vlan 20

[S2-Ethernet0/0/3]quit

[S2]interface Ethernet 0/0/4

[S2-Ethernet0/0/4]port link-type access

[S2-Ethernet0/0/4]port default vlan 30

3.ping通测试

PC1pingPC2：

PC1pingPC3:

三、ACL相关命令

1.S1配置

[S1]acl name xianqier advance //在交换机 S1 上创建一个名为 xianqier 的高级 ACL。高级 ACL 允许更精细的流量控制和过滤。

[S1-acl-adv-xianqier]rule deny ip source 192.168.10.1 0.0.0.255 destination 192.168.30.0 0.0.0.255 // 添加一条规则，拒绝源地址为 192.168.10.1/24 的 IP 数据包发送到目的地址为 192.168.30.0/24 的网络。这里的 0.0.0.255 是反掩码，表示匹配 192.168.10.x 的所有地址。

[S1-acl-adv-xianqier]rule permit ip source any destination any // 添加一条规则，允许所有其他 IP 数据包通过。

[S1-acl-adv-xianqier]quit //退出 ACL 配置模式，返回全局配置模式。

[S1]interface GigabitEthernet 0/0/1 //进入接口 GigabitEthernet 0/0/1 的配置模式。

[S1-GigabitEthernet0/0/1]traffic-filter inbound acl name xianqier //将名为 xianqier 的 ACL 应用到接口 GigabitEthernet 0/0/1 的入方向（inbound），即过滤进入该接口的流量。

总结：这些配置创建了一个 ACL，该 ACL 拒绝特定源和目的 IP 地址之间的流量，同时允许所有其他流量通过。然后，将这个 ACL 应用到接口 GigabitEthernet 0/0/1，以便过滤进入该接口的流量。

2.ping通测试

PC1pingPC2：

PC1pingPC3:

四、ACL类型补充

1.标准 ACL (Standard ACL)

特点：

• 只基于源 IP 地址进行流量过滤。

• 配置简单，但控制粒度较粗。

• 在配置时使用编号 1 到 99 或 1300 到 1999。

命令示例：

acl number 10

rule deny source 192.168.1.1 0

rule permit source any

2.扩展 ACL (Extended ACL)

特点：

• 基于源和目的 IP 地址、协议类型（如 TCP、UDP、ICMP）以及源和目的端口号进行流量过滤。

• 控制粒度更细，适用于更复杂的网络需求。

• 在配置时使用编号 100 到 199 或 2000 到 2699。

命令示例：

acl number 100

rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq 80

rule permit ip source any destination any

3.基于时间的 ACL (Time-Based ACL)

特点：根据预定义的时间范围对流量进行过滤，适用于需要在特定时间段内进行访问控制的场景。

命令示例：

acl name office_time

rule permit ip source any destination any time-range work_hours

time-range work_hours

periodic weekdays 08:00 to 17:00

4.MAC 地址 ACL (MAC ACL)

特点：

• 基于源和目的 MAC 地址进行流量过滤。

• 多用于二层交换机。

命令示例：

acl mac 4000

rule permit source 00e0.4c00.0001 0000.0000.0000 destination 00e0.4c00.0002 0000.0000.0000

5.高级 ACL (Advanced ACL）

特点：

• 允许更高级的匹配条件，如时间范围、包的特定字段等。

• 在设备上配置时，可以使用命名方式，提供更灵活的控制。

命令示例：

acl name xianqier advance

rule deny ip source 192.168.10.1 0.0.0.255 destination 192.168.30.0 0.0.0.255

rule permit ip source any destination any

PS：在此次实验中我们使用的就是高级ACL~