華為拓撲---cal的高級使用
阿新 • • 發佈:2018-01-19
des bound 模式 min 撤銷 -c 子網 text lan 一、拓撲圖展示
5.使用acl讓PC1和PC3不能ping通
6.使用acl讓PC4只能ping通PC2,其他都ping不通
二、 你要知道的知識點
1.什麽是acl?
訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。
2.acl的作用
配置ACL後,可以限制網絡流量,允許特定設備訪問,指定轉發特定端口數據包等。
三、 實驗目的
1.讓pc1和pc2屬於vlan10,pc3屬於vlan20,pc4屬於vlan30。
2.給R1路由設置vlan10的網關,並在上面設置RIP。
3.給R2路由器設置vlan20和vlan30網關,R2設置RIP,R1與R2的之間的網段為192.168.4.0/24
5.使用acl讓PC1和PC3不能ping通
6.使用acl讓PC4只能ping通PC2,其他都ping不通
四、 所需設備以及相關設置
1.PC機
| 設備 | IP地址 | IP網關 | 子網掩碼 | 所屬vlan |
|---|---|---|---|---|
| pc1 | 192.168.1.1 | 192.168.1.254 | 255.255.255.0 | vlan10 |
| pc2 | 192.168.1.2 | 192.168.1.254 | 255.255.255.0 | vlan10 |
| pc3 | 192.168.2.1 | 192.168.2.254 | 255.255.255.0 | vlan20 |
| pc4 | 192.168.3.1 | 192.168.3.254 | 255.255.255.0 | vlan30 |
2.交換機
| 設備 | 接口 | 所屬vlan |
|---|---|---|
| LSW1 | e0/0/1 | vlan10 |
| LSW1 | e0/0/2 | vlan10 |
| LSW1 | e0/0/3 | vlan10 |
| LSW2 | e0/0/2 | vlan20 |
| LSW2 | e0/0/3 | vlan30 |
| LSW2 | e0/0/1 | trunk |
3.路由器
| 設備 | 接口 | 網關 | RIP宣告網段 |
|---|---|---|---|
| R1 | g0/0/0 | 192.168.1.254 | 192.168.1.0/24和192.168.4.0/24 |
| R1 | g0/0/1 | 192.168.4.1 | 192.168.1.0/24和192.168.4.0/24 |
| R2 | g0/0/1 .1 | 192.168.2.254 | 192.168.2.0/24、192.168.3.0/24 、192.168.4.0/24 |
| R2 | g0/0/1.2 | 192.168.3.254 | 192.168.2.0/24、192.168.3.0/24 、192.168.4.0/24 |
| R2 | g0/0/0 | 192.168.4.2 | 192.168.2.0/24、192.168.3.0/24 、192.168.4.0/24 |
五、 配置思路以及代碼展示
1.LSW1配置思路:
a、創建vlan10
b、讓三個端口加入vlan10
<Huawei>undo terminal monitor //撤銷終端監控
<Huawei>system-view //進入系統模式
[Huawei]sysname SW1 //設置交換機名稱為SW1
[SW1]vlan 10 //創建vlan10
[SW1-vlan10]quit //退出
[SW1]port-group group-member Ethernet 0/0/1 to Ethernet 0/0/3 //把e0/0/1-3加入一個組
[SW1-port-group]port link-type access //設置組內端口模式為接入
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/3]port link-type access
[SW1-port-group]port default vlan 10 //讓組內端口加入vlan10
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-Ethernet0/0/3]port default vlan 10
[SW1-port-group]quit查詢結果圖
2.LSW2配置思路:
a、創建vlan20和30
b、讓端口e0/0/2加入vlan20,端口e0/0/3加入vlan30,端口e0/0/1設置為trunk模式。
<Huawei>undo terminal monitor //撤銷終端監控
<Huawei>system-view //進入系統模式
[Huawei]sysname SW2 //設置交換機名稱為SW2
[SW2]vlan batch 20 30 //創建vlan20和30
[SW2]interface Ethernet 0/0/2 //進入端口e0/0/2
[SW2-Ethernet0/0/2]port link-type access //設置端口為接入模式
[SW2-Ethernet0/0/2]port default vlan 20 //加入vlan20
[SW2-Ethernet0/0/2]quit //退出
[SW2]interface Ethernet 0/0/3 //進入端口e0/0/3
[SW2-Ethernet0/0/3]port link-type access //設置端口為接入模式
[SW2-Ethernet0/0/3]port default vlan 30 //加入vlan30
[SW2-Ethernet0/0/3]quit //退出
[SW2]interface ethernet 0/0/1 //進入端口e0/0/1
[SW2-Ethernet0/0/1]port link-type trunk //設置端口為中繼模式
[SW2-Ethernet0/0/1]port trunk allow-pass vlan all //加入所有端口
[SW2-Ethernet0/0/1]quit //退出查詢結果圖
3.R1配置思路:
a、配置vlan10的網關:192.168.1.254/24,在接口g0/0/0上,
b、配置端口g0/0/1上網段ip:192.168.4.1/24
c、設置並開啟rip,設置網段宣告:192.168.1.0/24和192.168.4.0/24
<Huawei>undo terminal monitor //撤銷終端監控
<Huawei>system-view //進入系統模式
[Huawei]sysname R1 //設置路由器名稱為R1
[R1]interface gigabitethernet 0/0/0 //進入端口g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown //開啟端口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //設置vlan10的網關
[R1-GigabitEthernet0/0/0]quit //退出
[R1]interface gigabitethernet 0/0/1 //進入端口g0/0/1
[R1-GigabitEthernet0/0/0]undo shutdown //開啟端口
[R1-GigabitEthernet0/0/0]ip add 192.168.4.1 24 //設置端口g0/0/1上網段ip
[R1-GigabitEthernet0/0/0]quit //退出
[R1]rip //開啟rip
[R1-rip-1]version 2 //設置版本v2
[R1-rip-1]network 192.168.1.0 //宣告網段192.168.1.0/24
[R1-rip-1]network 192.168.4.0 //宣告網段192.168.4.0/24
[R1-rip-1]quit //退出[R1]display current-configuration //查看所有配置
4.R2配置思路:
a、配置端口g0/0/0上網段ip:192.168.4.2/24
b、設置並開啟單臂路由配置g0/0/1.1的vlan20的網關:192.168.2.254/24,g0/0/1.2的vlan30的網關192.168.3.254/24
c、設置並開啟rip,設置網段宣告:192.168.2.0/24、192.168.4.0/24和192.168.3.0/24
<Huawei>undo terminal monitor //撤銷終端監控
<Huawei>system-view //進入系統模式
[Huawei]sysname R2 //設置路由器名稱為R2
[R2]interface GigabitEthernet 0/0/0 //進入端口g0/0/0
[R2-GigabitEthernet0/0/0]undo shutdown //開啟端口
[R2-GigabitEthernet0/0/0]ip add 192.168.4.2 24 //設置端口g0/0/0上網段ip
[R2-GigabitEthernet0/0/0]quit //退出
[R2]interface GigabitEthernet 0/0/1 //進入端口g0/0/1
[R2-GigabitEthernet0/0/0]undo shutdown //開啟端口
[R2-GigabitEthernet0/0/0]quit //退出
[R2]interface GigabitEthernet 0/0/1.1 //開啟子端口 G0/0/1.1
[R2-GigabitEthernet0/0/1.1]dot1q termination vid 20 //封裝dot1q協議,設置子接口對應vlan 20
[R2-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24 //設置vlan 20的網關
[R2-GigabitEthernet0/0/1.1]arp broadcast enable //開啟子接口的ARP廣播
[R2-GigabitEthernet0/0/1.1]quit //退出
[R2]interface GigabitEthernet 0/0/1.2 //開啟子端口 G0/0/1.2
[R2-GigabitEthernet0/0/1.2]dot1q termination vid 30 //封裝dot1q協議,設置子接口對應vlan 30
[R2-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24 //設置vlan 30的網關
[R2-GigabitEthernet0/0/1.2]arp broadcast enable //開啟子接口的ARP廣播
[R2-GigabitEthernet0/0/1.2]quit //退出
[R2]rip //開啟rip
[R2-rip-1]version 2 //設置版本v2
[R2-rip-1]network 192.168.4.0 //宣告網段192.168.4.0/24
[R2-rip-1]network 192.168.3.0 //宣告網段192.168.3.0/24
[R2-rip-1]network 192.168.2.0 //宣告網段192.168.2.0/24
[R2-rip-1]quit //退出[R1]display current-configuration //查看所有配置
5.使用acl讓PC1和PC3不能ping通思路
a、網絡要都能聯通,相互都能ping通。
b、要讓pc1和pc3不通,首先要創建acl,規則為阻止pc1和pc3的icmp聯通。
c、在與pc1最近的端口上也就是e0/0/1上執行acl就可以了。
在LSW1中操作
[SW1]acl name MA1 advance //開啟acl並設置名稱為MA1,模式為高級模式
[SW1-acl-adv-MA1]rule 5 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16
8.2.1 0.0.0.0 //設置規則為5,阻止IP從192.168.1.1 到192.168.2.1 聯通(也就是PC1和PC3無法ping通)
[SW1-acl-adv-MA1]quit //退出
[SW1]interface Ethernet 0/0/1 //進入端口e0/0/1
[SW1-Ethernet0/0/1]undo shutdown //開啟端口
[SW1-Ethernet0/0/1]traffic-filter inbound acl name MA1 //讓acl在端口入站時執行
[SW1-acl-adv-MA1]quit //退出結果驗證
[SW1]display acl name MA1 //查看acl MA1的規則
6.使用acl讓PC4只能ping通PC2,其他都ping不通
a、網絡要都能聯通,相互都能ping通。
b、要讓pc4只能ping通pc2,首先要創建acl,要做兩個規則先讓pc4所有都不通,讓後添加pc4能夠ping通pc2的規格。
c、在與pc4最近的端口上也就是e0/0/3上執行acl就可以了。
在LSW2中操作
[SW2]acl name MA2 advance //開啟acl並設置名稱為MA2,模式為高級模式
[SW2-acl-adv-MA2]rule 5 deny ip //設置規則5 所有ip都不能聯通
[SW2-acl-adv-MA2]rule 10 permit ip source 192.168.3.1 0.0.0.0 destination 192.168.1.2 0.0.0.0 //設置規則10 讓pc4與pc2能夠聯通
[SW2-acl-adv-MA2]quit //退出
[SW2]interface Ethernet 0/0/3 //進入端口e0/0/3
[SW2-Ethernet0/0/3]undo shutdown //開啟端口
[SW2-Ethernet0/0/3]traffic-filter inbound acl name MA2 //讓acl在端口入站時執行
[SW2-Ethernet0/0/3]quit //退出結果圖
[SW2]display acl name MA2 //查看acl MA2的規則
六、給大家個思考題
能否使用acl讓pc1和pc2不能ping通。恢復有積分!
華為拓撲---cal的高級使用