ACL分类

基本ACL(2000-2999):只能匹配来源IP地址

高级ACL(3000-3999):可以匹配来源IP地址、目标IP地址,源端口、与目标端口等

二层ACL(4000-4999):源MAC地址、目的MAC地址、以太帧协议类型等

 

ACL的应用原则:

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(保护带宽和其他资源)

 

ACL应用规则:

1.一个接口的同一个方向,只能调用一个ACL

2.一个ACL里面可以有多个rule规则,按照规则ID从小到大依次执行

3.数据包一旦被某个rule匹配,就不再往下匹配

 

ACL基本使用:

速配符0     1

0不检查     1检查

#acl 2000  创建一个基本acl 2000
#rule 规则序号   deny source 条件  检查范围        #禁止规则
#rule 规则序号   permit source 条件  检查范围      #允许规则
# 0代表的匹配位
#rule 10 deny source 192.168.1.1 0.0.0.0   #设置acl规则,禁止192.168.1.1访问  0.0.0.0代表192.168.1.1全匹配则禁止,规则序号是10
#rule 10 deny source 192.168.1.1 0.0.0.255   #设置acl规则,0.0.0.255代表禁止192.168.1.0 所属网段IP访问

 

 

一、基本ACL的应用

实验目的:

1.实现销售部,财务部与其他网络设备互通

2.禁止销售部访问财务部服务器

ensp为什么配置access口报错_IP

 

 1.主机与服务器进行ip,子网,网关配置

ensp为什么配置access口报错_网络设备_02

 

 

 

2.SW1配置

<Huawei>u t m  #临时禁用终端提示
Info: Current terminal monitor is off.
<Huawei>system-view    #进入系统视图
Enter system view, return user view with Ctrl+Z.  
[Huawei]sysname SW1   #修改交换机名称
[SW1]vlan 10
[SW1]interface g0/0/2  #进入端口视图
[SW1-GigabitEthernet0/0/2]port link-type access    #设置端口类型:access
[SW1-GigabitEthernet0/0/2]port default vlan 10     #划分端口vlan号
[SW1-GigabitEthernet0/0/2]q    #退出
[SW1]interface g0/0/1     
[SW1-GigabitEthernet0/0/1]port link-type access   
[SW1-GigabitEthernet0/0/1]port default vlan 10

3.SW2配置(同理)

<Huawei>u t m
Info: Current terminal monitor is off.<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.  
[Huawei]sysname SW2  
[SW2]vlan 20
[SW2]interface g0/0/2  
[SW2-GigabitEthernet0/0/2]port link-type access   
[SW2-GigabitEthernet0/0/2]port default vlan 20
[SW2-GigabitEthernet0/0/2]q
[SW2]interface g0/0/1  
[SW2-GigabitEthernet0/0/1]port link-type access   
[SW2-GigabitEthernet0/0/1]port default vlan 20

4.AR1配置

<Huawei>u t m
Info: Current terminal monitor is off.<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1   #修改路由器名称
[R1]interface g0/0/0     #进入端口视图
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24  #设置端口ip,子网掩码
[R1-GigabitEthernet0/0/0]q   
[R1]interface g0/0/1   
[R1-GigabitEthernet0/0/1]ip address 192.168.4.1 24
[R1-GigabitEthernet0/0/1]q 
[R1]ip route-static 192.168.2.0 24 192.168.4.2   #设置静态路由

5.AR2配置(基本ACL规则设置)

<Huawei>u t m
Info: Current terminal monitor is off.<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR2
[AR2]interface g0/0/0   
[AR2-GigabitEthernet0/0/0]ip address 192.168.2.254 24  #设置端口ip,子网掩码
[AR2-GigabitEthernet0/0/0]q
[AR2]interface g0/0/1
[AR2-GigabitEthernet0/0/1]ip address 192.168.4.2 24
[AR2-GigabitEthernet0/0/1]q 
[AR2]ip route-static 192.168.1.0 24 192.168.4.1
[AR2]acl 2000
[AR2-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0   #设置acl规则,禁止192.168.1.1访问
[AR2-acl-basic-2000]q   
[AR2]interface g0/0/2      #进入端口视图
[AR2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000  #端口out方向调用ACL规则
[AR2-GigabitEthernet0/0/2]q
[AR2]interface g0/0/2
[AR2-GigabitEthernet0/0/2]ip address 192.168.3.254 24  #设置端口ip,子网掩码
[AR2-GigabitEthernet0/0/2]q

 

 

 最终实现售后部与其他网络设备互通,但不能访问财务部服务器。

 财务部能与其他网络设备互通,且能访问财务部服务器。

ensp为什么配置access口报错_服务器_03

ensp为什么配置access口报错_ensp为什么配置access口报错_04

 

 

 

二、高级ACL的应用

ensp为什么配置access口报错_网络设备_05

1.AR1路由器进行配置,实现全网互通

ensp为什么配置access口报错_服务器_06

 2.ping测试网络通信

ensp为什么配置access口报错_网络设备_07

 

ensp为什么配置access口报错_IP_08

 3、禁止192.168.2.2访问192.168.1.1的ftp服务,但不影响其他服务(高级ACL的使用)

[Huawei]acl 3000   //创建(进入)acl3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination
 192.168.1.1 0 destination-port eq 80  //拒绝2.1访问1.1的tcp的21端口

[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //重新在接口应用acl3000

如果端口原来已有ACL规则列表应用,则需要先删除原来的ACL规则列表
[Huawei-acl-adv-3000]in g0/0/1 //进入距离2.2比较近的接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //删除原有acl