配置高階ACL

2021-10-07 13:11:57 字數 3633 閱讀 4894

配置高階acl

2.1 問題

如圖配置ip位址

允許client1訪問server1的web服務

允許client1 訪問網路 192.168.2.0/24

禁止client1 訪問其他網路

2.2 方案

搭建實驗環境,如圖-2所示。

圖-22.3 步驟

實現此案例需要按照如下步驟進行。

1)配置終端裝置 - client1

掩碼:255.255.255.0

閘道器:192.168.1.254

2)配置終端裝置 - pc1

掩碼:255.255.255.0

閘道器:192.168.2.254

3)配置終端裝置 - server1

掩碼:255.255.255.0

閘道器:192.168.3.254

配置 http 服務

4)配置網路裝置 - r1

>system-view                                         // 進入系統模式


[huawei]sysname r1 // 更改裝置名稱


[r1]inte***ce gi0/0/2 // 連線 client1


[r1-gigabitethernet0/0/2] ip address 192.168.1.254 24


[r1-gigabitethernet0/0/2] quit 


[r1]inte***ce gi0/0/0 // 連線 r2的介面


[r1-gigabitethernet0/0/0] ip address 192.168.12.1 24


[r1-gigabitethernet0/0/0] quit 


[r1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 // 去往其他網段的預設路由
5)配置網路裝置 - r2

>system-view                                         // 進入系統模式


[huawei]sysname r2 // 更改裝置名稱


[r2]inte***ce gi0/0/2 // 連線 pc1 


[r2-gigabitethernet0/0/2] ip address 192.168.2.254 24


[r2-gigabitethernet0/0/2] quit 


[r2]inte***ce gi0/0/1 // 連線 r1 的介面


[r2-gigabitethernet0/0/1] ip address 192.168.12.2 24


[r2-gigabitethernet0/0/1] quit 


[r2]inte***ce gi0/0/0 // 連線 r3 的介面


[r2-gigabitethernet0/0/0] ip address 192.168.23.2 24


[r2-gigabitethernet0/0/0] quit 


[r2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 // 去往client1的網段


[r2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 // 去往server1的網段
6)配置網路裝置 - r3

>system-view                                         // 進入系統模式


[huawei]sysname r3 // 更改裝置名稱


[r3]inte***ce gi0/0/2 // 連線 server1


[r3-gigabitethernet0/0/2] ip address 192.168.3.254 24


[r3-gigabitethernet0/0/2] quit 


[r3]inte***ce gi0/0/1 // 連線 r2 的介面


[r3-gigabitethernet0/0/1] ip address 192.168.23.3 24


[r3-gigabitethernet0/0/1] quit 


[r3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 // 去往其他網段的預設路由
7)配置控制策略並呼叫

[r1]acl 3000                                   // 建立高階acl


[r1-acl-adv-


3000


]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.3.1


0 destination-port eq 80 // 允許 client 到 server 的 web 流量


[r1-acl-adv-


3000


]rule 10 permit ip source 192.168.1.1 0 destination 192.168.2.0


0.0.0.255 // 允許 client 到 pc1 網段的所有流量


[r1-acl-adv-


3000


]rule 15 deny ip source 192.168.1.1 0 destination any 


//拒絕所有其他流量


[r1-acl-adv-


3000


]quit


[r1]inte***ce gi0/0/2 // client 的閘道器介面


[r1-gigabitethernet0/0/2] traffic-filter inbound acl 3000 // 介面的入向呼叫acl
8)測試

client1可以通過 http 客戶端訪問server1的網頁(web服務)

client1可以ping通網路192.168.2.0/24 中的 pc1

client1不能ping通網路192.168.3.0/24,以及其他網段,比如192.168.12.0 中的介面位址

思科高階配置 配置擴充套件ACL

問題 在網路中很有可能要允許或拒絕的並不是某乙個源ip位址,而是根據目標位址或是協議來匹配。但是標準訪問控制列表只能根據源ip位址來決定是否允許乙個資料報通過。1 配置擴充套件acl實現拒絕pc2 ip位址為192.168.0.20 訪問web server的web服務,但可訪問其他服務。方案為了實...

思科高階配置 配置擴充套件命名ACL

問題 使用基本編號的acl沒有實際意義,只有通過閱讀具體的條目才能得知該acl的作用。而且acl的編號有限制,如傳統的標準acl用199表示,擴充套件acl用100199表示。1 配置擴充套件命名acl實現拒絕pc2 ip位址為192.168.0.20 訪問web server web服務,但可訪問...

華為ACL高階配置實驗過程

1 允許client1訪問server1的web服務 2 允許client1訪問網路192.168.2.0 24 3 禁止client1訪問其它網路 搭建實驗環境 實現此案例需要按照如下步驟進行。ar1 ip route static 0.0.0.0 0.0.0.0 192.168.12.2 ar3...