一、网络拓扑:
华为ACL控制协议实现流量控制
二、实验内容:实现ACL控制流量的相关操作
三、实验步骤:
1、新建拓扑,添加三台路由器,两台PC机,并连线。
华为ACL控制协议实现流量控制

2、按照下图配置相关节点的IP地址,利用RIP协议配置路由器之间的动态路由
华为ACL控制协议实现流量控制
RIP配置命令如下:
[Huawei]rip 10
[Huawei-rip-10]version 2 //启用RIPV2
[Huawei-rip-10]network 192.168.1.0 //宣告网络进入RIP协议
[Huawei-rip-10]network 192.168.2.0 //宣告网络进入RIP协议
每个路由器的network都I写本路由接口的IP网段
3、配置ACL规则,使PC1不能访问PC2,网络中的其他节点PC1都能访问。配置ACL之前,先验证PC1与PC2能否ping通:
华为ACL控制协议实现流量控制
配置ACL命令如下:
[Huawei]acl 3000 //创建高级ACL条目 acl 3000
[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 destination 192
.168.4.1 0.0.0.0 //配置ACL 3000的规则,拒绝192.168.1.1访问192.168.4.1
[Huawei-acl-adv-3000]quit //退回系统视图
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //进入端口GigabitEthernet0/0/1调用acl 3000
再次验证主机PC1ping主机PC2,以及主机PC1ping PC2的网关
华为ACL控制协议实现流量控制
华为ACL控制协议实现流量控制
4、配置ACL规则,使AR3不能远程访问AR1和AR2,先在AR2和AR1上开启远程登录以及设置密码,验证AR3能否远程访问AR1和AR2
AR1命令如下:
[Huawei]user-interface vty 0 4 //进入远程登录配置界面
[Huawei-ui-vty0-4]authentication-mode password //配置验证模式为密码验证
Please configure the login password (maximum length 16):123 //设置远程登录密码为123
AR3远程访问命令:<Huawei>telnet 192.168.3.2
华为ACL控制协议实现流量控制
华为ACL控制协议实现流量控制
根据上如可知AR3可以远程登录到AR1和AR2,下面配置ACL规则,不允许AR3远程登录AR1和AR2。因为telent 访问时的源端口是随机的,而目标端口是固定的,所以要使AR3不能远程访问AR1和AR2,只能限制目标端口号tcp 23.另外每个路由器都有两个端口,所以需要限制目标IP为AR1和AR2上的接口IP,源IP为AR3上的两个接口IP。配置命令如下:
[Huawei]acl 3333
[Huawei-acl-adv-3333]rule 5 deny tcp source 192.168.1.254 0.0.0.0 destination 19
2.168.2.2 0.0.0.0 destination-port eq 23 //拒绝192.168.1.254访问192.168.2.2的TCP23号端口
[Huawei-acl-adv-3333]rule 10 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.2.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 15 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 20 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.2 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 25 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 30 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.1 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 35 deny tcp source 192.168.1.254 0.0.0.0 destination 1
92.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]rule 40 deny tcp source 192.168.2.1 0.0.0.0 destination 192
.168.4.254 0.0.0.0 destination-port eq 23 //同上
[Huawei-acl-adv-3333]quit //退回系统视图
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3333 //调用acl 3000
验证AR3通过192.168.2.1和192.168.1.254分别远程登录AR2和AR1的,结果如下:
华为ACL控制协议实现流量控制

通过上图可知,无论AR3通过哪个接口远程登录AR1和AR2都不能成功,再验证AR1和AR2能否互相远程登录
华为ACL控制协议实现流量控制

华为ACL控制协议实现流量控制
由图可知AR1和AR2可以远程登录,综上可知,以上的配置,成功阻止了AR3远程登录AR1和AR2,却没有影响AR1和AR2之间的互相远程登录。