模擬器有三颱主機pc,是pc1,pc2,pc3我們分別使用基本acl高階acl和二層acl來實現一些訪問控制,使用者可自行體會其中的差別
開始前,我們首先讓三颱pc獲取ip位址,方便後面的實驗
system-view //進入系統檢視
enter system view, return user view with ctrl+z.
[huawei]undo info-center enable
info: information center is disabled.
[huawei]sysname core //命名裝置
[core]vlan batch 10 20 30//建立三個vlan,10 20 30
info: this operation may take a few seconds. please wait for a moment...done.
[core]dhcp enable
info: the operation may take a few seconds. please wait for a moment.done.
[core]inte***ce vlanif 10 //進入vlanif10
[core-vlanif10]ip address 192.168.10.254 24 //配置ip位址
[core-vlanif10]dhcp select inte***ce //dhcp的方式是基於介面
[core-vlanif10]quit
[core]inte***ce vlanif 20
[core-vlanif20]ip address 192.168.20.254 24
[core-vlanif20]dhcp select inte***ce
[core-vlanif20]quit
[core]inte***ce vlanif 30
[core-vlanif30]ip address 192.168.30.254 24
[core-vlanif30]dhcp select inte***ce
[core-vlanif30]quit
[core]inte***ce gigabitethernet 0/0/1
[core-gigabitethernet0/0/1]port link-type access //設定鏈路型別為access
[core-gigabitethernet0/0/1]port default vlan 10 //劃分至vlan10
[core-gigabitethernet0/0/1]quit
[core]inte***ce gigabitethernet 0/0/2
[core-gigabitethernet0/0/2]port link-type access
[core-gigabitethernet0/0/2]port default vlan 20
[core-gigabitethernet0/0/2]quit
[core]inte***ce gigabitethernet 0/0/3
[core-gigabitethernet0/0/3]port link-type access
[core-gigabitethernet0/0/3]port default vlan 30
[core-gigabitethernet0/0/3]quit
[core]
[core]acl 2000//建立基本acl,編號是2000
[core-acl-basic-2000]step 10 //設定步長為10
[core-acl-basic-2000]ru deny source 192.168.30.253 0.0.0.0 //拒絕192.168.30.253的ip報文
[core-acl-basic-2000]quit
[core]inte***ce gigabitethernet 0/0/1
[core-gigabitethernet0/0/1]traffic-filter outbound acl 2000 //你g0/0/1的出埠呼叫acl2000
[core]acl 3000
[core-acl-adv-3000]rule deny ip source 192.168.30.0 0.0.0.255 destination 192.16
8.10.253 0.0.0.0
[core-acl-adv-3000]quit
[core]inte***ce gigabitethernet 0/0/1
[core-gigabitethernet0/0/1]traffic-filter outbound acl 3000
實驗目的:禁止mac位址是5489-98d2-1bdd的主機訪問mac位址為5489-9834-1372的主機
注:這裡的設計有問題,在三層交換機上,只有兩台主機在同一vlan下才可以實現,不過思路還是這個思路。
這裡發生了個有趣的事情,ensp模擬器宛如zz一樣,怎麼都實現不了想要的效果,還以為配置有問題,重新增加交換機和主機測試就ok了,所以模擬器還是有很多潛在的bug的。
哈哈,其實是我錯了,我要留下這段話。
[core]acl 4001
[core-acl-l2-4001]rule deny source-mac 5489-98d2-1bdd destination-mac 5489-9834
-1372
[core-acl-l2-4001]quit
[core]inte***ce gigabitethernet 0/0/1
[core-gigabitethernet0/0/1]traffic-filter outbound acl 4001
[core-gigabitethernet0/0/1]quit
更正:天吶!這裡犯了乙個錯誤,其實這段**是實現不了互相禁止的,因為vlan10和vlan30屬於三層ip**,三層交換機上,如果是同一vlan下是可以用acl4000實現的(同一vlan**不涉及三層**)。所以有三層交換機的時候我們盡量用高階acl來做(3000-3999). 分類
規則定義描述
編號基本acl
僅使用報文的源ip位址、分片資訊和生效時間段資訊來定義規則。
2000-2999
高階acl
既可使用ipv4報文的源ip位址,也可使用目的ip位址、ip協議型別、icmp型別、tcp源/目的埠、udp源/目的埠號、生效時間段等來定義規則。
3000-3999
二層acl
使用報文的乙太網幀頭資訊來定義規則,如根據源mac(media access control)位址、目的mac位址、二層協議型別等。
4000-4999
使用者自定義acl
使用報文頭、偏移位置、字串掩碼和使用者自定義字串來定義規則,即以報文頭為基準,指定從報文的第幾個位元組開始與字串掩碼進行「與」操作,並將提取出的字串與使用者自定義的字串進行比較,從而過濾出相匹配的報文。
5000-5999
使用者acl
既可使用ipv4報文的源ip位址或源ucl(user control list)組,也可使用目的ip位址或目的ucl組、ip協議型別、icmp型別、tcp源埠/目的埠、udp源埠/目的埠號等來定義規則。
6000-6999
基本acl6
可使用ipv6報文的源ipv6位址、分片資訊和生效時間段來定義規則
2000-2999
高階acl6
可以使用ipv6報文的源ipv6位址、目的ipv6位址、ipv6協議型別、icmpv6型別、tcp源/目的埠、udp源/目的埠號、生效時間段等來定義規則。
3000-3999
華為交換機acl的配置
總結,其實也很好理解,acl規則下的permit用於匹配流,流動作裡的permit或deny才是真正的對包文的允許與禁止動作。也可參考華為手裡的一句話 基於硬體的應用 acl 被下發到硬體,例如配置qos 功能時引用acl,對報文進 行流分類。需要注意的是,當acl 被qos 功能引用時,如果acl...
思科 交換機ACL
交換機acl只能繫結在vlan上,且只能繫結在有建立vlan網管位址的交換機上,繫結在分支交換機上無效。一定要最後一句加permit access list 1 deny 10.0 1.0 0.0.0 255 1 99基本 access list 1 permit any access list 1...
華為交換機配置時區 華為交換機配置命令
文件大全 華為交換機的基本操作命令 設定日期和時間 時間對於交換機來說非常重要,時間不對很多功能無法實現 clock timezone bj add 08 00 00 在使用者檢視下輸入此命令 clock datetime 13 45 30 2017 09 20 設定當前時間和日期,小時制syste...