【華為HCNA】訪問控制列表ACL實例配置
ACL的概念
訪問控制列表ACL(Access Control List)可以定義一系列不同的規則,設備根據這些規則對數據包進行分類,並針對不同類型的報文進行不同的處理,從而可以實現對網絡訪問行為的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。
應用場景
在小型企業的網絡中,現要求只有經理的PC(源地址是192.168.2.1)才能訪問互聯
實驗目的
允許主機B(經理的PC)訪問互聯網,禁止主機A訪問互聯網
網絡拓撲圖如下:
操作步驟
一、配置端口類型以及ip地址
[SW1]vlan batch 10 20 30 //創建VLAN
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 20
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24
[SW1]interface Vlanif 20
[SW1]interface Vlanif 30
[SW1-Vlanif30]ip address 192.168.16.1 24
##################################################
[AR6]interface GigabitEthernet 0/0/0
[AR6-GigabitEthernet0/0/1]ip address 192.168.16.6 24
[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]ip address 200.1.1.1 24
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip address 200.1.1.2 24
PC6和PC7配置ip和網關
二、配置靜態路由,實現全網互通
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.16.6
[AR6]ip route-static 0.0.0.0 0.0.0.0 192.168.16.1
[R3]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
在PC6和PC7上測試是否能訪問R3
現象:PC6和PC7都能訪問R3
三、實現主機B(經理的PC)訪問互聯網,本案例中R3代替互聯網。在AR6上做ACL
[AR6]acl 2000
[AR6-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
查詢ACL與接口的綁定情況
在主機A上ping互聯網ip,發現不通,即ACL禁止了主機A的流量訪問互聯網,同時允許主機B(經理的PC)可以訪問互聯網
測試:主機A和主機B訪問互聯網的情況,如下圖。
現象: 實現了最終的效果。
更多資訊,請關註×××公眾號“廣州華爾思網絡實驗室”動態信息。
資源來源:廣州華爾思網絡實驗室 【官網:www.gzwallslab.net】
學習群: 廣州華爾思學習群 543623993 【可以在QQ群裏下載到PDF版文件】
廣州華爾思學習群 2群 518216801【可以在QQ群裏下載到PDF版文件】
【華為HCNA】訪問控制列表ACL實例配置