華為訪問控制列表ACL案例配置 華為ACL訪問控制列表實例配置 華為ACL應用 ACL訪問控制列表 ACL應用場景

【華為HCNA】訪問控制列表ACL實例配置

ACL的概念
訪問控制列表ACL（Access Control List）可以定義一系列不同的規則，設備根據這些規則對數據包進行分類，並針對不同類型的報文進行不同的處理，從而可以實現對網絡訪問行為的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。

應用場景

在小型企業的網絡中，現要求只有經理的PC（源地址是192.168.2.1）才能訪問互聯

實驗目的
允許主機B（經理的PC）訪問互聯網，禁止主機A訪問互聯網

網絡拓撲圖如下：

操作步驟

一、配置端口類型以及ip地址
[SW1]vlan batch 10 20 30 //創建VLAN

[SW1]interface GigabitEthernet 0/0/1

[SW1-GigabitEthernet0/0/1]port link-type access //設置端口類型
[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 20

[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24

[SW1]interface Vlanif 20

[SW1-Vlanif10]ip address 192.168.2.254 24

[SW1]interface Vlanif 30
[SW1-Vlanif30]ip address 192.168.16.1 24
##################################################
[AR6]interface GigabitEthernet 0/0/0
[AR6-GigabitEthernet0/0/1]ip address 192.168.16.6 24

[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]ip address 200.1.1.1 24

##################################################
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip address 200.1.1.2 24

PC6和PC7配置ip和網關

二、配置靜態路由，實現全網互通
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.16.6

[AR6]ip route-static 0.0.0.0 0.0.0.0 192.168.16.1

[R3]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
在PC6和PC7上測試是否能訪問R3

現象：PC6和PC7都能訪問R3

三、實現主機B（經理的PC）訪問互聯網,本案例中R3代替互聯網。在AR6上做ACL

[AR6]acl 2000
[AR6-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

查詢ACL與接口的綁定情況

在主機A上ping互聯網ip，發現不通，即ACL禁止了主機A的流量訪問互聯網，同時允許主機B（經理的PC）可以訪問互聯網

測試：主機A和主機B訪問互聯網的情況，如下圖。

現象： 實現了最終的效果。
更多資訊，請關註×××公眾號“廣州華爾思網絡實驗室”動態信息。

資源來源：廣州華爾思網絡實驗室 【官網：www.gzwallslab.net】
學習群： 廣州華爾思學習群 543623993 【可以在QQ群裏下載到PDF版文件】
廣州華爾思學習群 2群 518216801【可以在QQ群裏下載到PDF版文件】

【華為HCNA】訪問控制列表ACL實例配置