華為企業交換機ACL經典案例

模擬器有三颱主機pc，是pc1,pc2,pc3我們分別使用基本acl高階acl和二層acl來實現一些訪問控制，使用者可自行體會其中的差別

開始前，我們首先讓三颱pc獲取ip位址，方便後面的實驗

system-view //進入系統檢視
enter system view, return user view with ctrl+z.
[huawei]undo info-center enable 
info: information center is disabled.
[huawei]sysname core //命名裝置
[core]vlan batch 10 20 30//建立三個vlan，10 20 30
info: this operation may take a few seconds. please wait for a moment...done.
[core]dhcp enable 
info: the operation may take a few seconds. please wait for a moment.done.
[core]inte***ce vlanif 10 //進入vlanif10
[core-vlanif10]ip address 192.168.10.254 24 //配置ip位址
[core-vlanif10]dhcp select inte***ce //dhcp的方式是基於介面
[core-vlanif10]quit 
[core]inte***ce vlanif 20
[core-vlanif20]ip address 192.168.20.254 24
[core-vlanif20]dhcp select inte***ce 
[core-vlanif20]quit 
[core]inte***ce vlanif 30
[core-vlanif30]ip address 192.168.30.254 24 
[core-vlanif30]dhcp select inte***ce 
[core-vlanif30]quit 
[core]inte***ce gigabitethernet 0/0/1
[core-gigabitethernet0/0/1]port link-type access //設定鏈路型別為access
[core-gigabitethernet0/0/1]port default vlan 10 //劃分至vlan10
[core-gigabitethernet0/0/1]quit 
[core]inte***ce gigabitethernet 0/0/2 
[core-gigabitethernet0/0/2]port link-type access 
[core-gigabitethernet0/0/2]port default vlan 20
[core-gigabitethernet0/0/2]quit 
[core]inte***ce gigabitethernet 0/0/3 
[core-gigabitethernet0/0/3]port link-type access 
[core-gigabitethernet0/0/3]port default vlan 30
[core-gigabitethernet0/0/3]quit 
[core]

[core]acl 2000//建立基本acl，編號是2000
[core-acl-basic-2000]step 10 //設定步長為10 
[core-acl-basic-2000]ru deny source 192.168.30.253 0.0.0.0 //拒絕192.168.30.253的ip報文
[core-acl-basic-2000]quit 
[core]inte***ce gigabitethernet 0/0/1
[core-gigabitethernet0/0/1]traffic-filter outbound acl 2000 //你g0/0/1的出埠呼叫acl2000

[core]acl 3000
[core-acl-adv-3000]rule deny ip source 192.168.30.0 0.0.0.255 destination 192.16
8.10.253 0.0.0.0 
[core-acl-adv-3000]quit 
[core]inte***ce gigabitethernet 0/0/1 
[core-gigabitethernet0/0/1]traffic-filter outbound acl 3000

實驗目的：禁止mac位址是5489-98d2-1bdd的主機訪問mac位址為5489-9834-1372的主機

注：這裡的設計有問題，在三層交換機上，只有兩台主機在同一vlan下才可以實現，不過思路還是這個思路。

這裡發生了個有趣的事情，ensp模擬器宛如zz一樣，怎麼都實現不了想要的效果，還以為配置有問題，重新增加交換機和主機測試就ok了，所以模擬器還是有很多潛在的bug的。

哈哈，其實是我錯了，我要留下這段話。

[core]acl 4001
[core-acl-l2-4001]rule deny source-mac 5489-98d2-1bdd destination-mac 5489-9834
-1372
[core-acl-l2-4001]quit 
[core]inte***ce gigabitethernet 0/0/1
[core-gigabitethernet0/0/1]traffic-filter outbound acl 4001
[core-gigabitethernet0/0/1]quit

更正：天吶！這裡犯了乙個錯誤，其實這段**是實現不了互相禁止的，因為vlan10和vlan30屬於三層ip**，三層交換機上，如果是同一vlan下是可以用acl4000實現的（同一vlan**不涉及三層**）。所以有三層交換機的時候我們盡量用高階acl來做（3000-3999）. 分類

規則定義描述

編號基本acl

僅使用報文的源ip位址、分片資訊和生效時間段資訊來定義規則。

2000-2999

高階acl

既可使用ipv4報文的源ip位址，也可使用目的ip位址、ip協議型別、icmp型別、tcp源/目的埠、udp源/目的埠號、生效時間段等來定義規則。

3000-3999

二層acl

使用報文的乙太網幀頭資訊來定義規則，如根據源mac（media access control）位址、目的mac位址、二層協議型別等。

4000-4999

使用者自定義acl

使用報文頭、偏移位置、字串掩碼和使用者自定義字串來定義規則，即以報文頭為基準，指定從報文的第幾個位元組開始與字串掩碼進行「與」操作，並將提取出的字串與使用者自定義的字串進行比較，從而過濾出相匹配的報文。

5000-5999

使用者acl

既可使用ipv4報文的源ip位址或源ucl（user control list）組，也可使用目的ip位址或目的ucl組、ip協議型別、icmp型別、tcp源埠/目的埠、udp源埠/目的埠號等來定義規則。

6000-6999

基本acl6

可使用ipv6報文的源ipv6位址、分片資訊和生效時間段來定義規則

2000-2999

高階acl6

可以使用ipv6報文的源ipv6位址、目的ipv6位址、ipv6協議型別、icmpv6型別、tcp源/目的埠、udp源/目的埠號、生效時間段等來定義規則。

3000-3999

華為企業交換機ACL經典案例

華為交換機acl的配置

思科交換機ACL

華為交換機配置時區華為交換機配置命令

華為企業交換機ACL經典案例

華為交換機acl的配置

思科 交換機ACL

華為交換機配置時區 華為交換機配置命令

相關推薦

思科交換機ACL

華為交換機配置時區華為交換機配置命令