网络 华为ACL配置（基本ACL+高级ACL+综合应用）

一、基本ACL

1.PC1不能ping通Server1 2.PC2可以ping通Server1 3.PC1可以ping通 PC2

R1配置

[R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 [R1-GigabitEthernet0/0/1]int g0/0/2 [R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 [R1]acl 2000 [R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.0 //抓取这个IP流量并拒绝它 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //相对于PC1来说在出接口上调用

验证配置效果 1.PC1不能ping通Server1 2.PC2可以ping通Server1 3.PC1可以ping通 PC2

二、高级ACL

1.允许Client1访问Server1的Web服务 2.允许Client1访问网络192.168.3.0/24 3.禁止Client1访问其它网络

R1配置 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 [R1]ip route-static 0.0.0.0 0 12.1.1.2 [R1]acl 3000 [R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 80 [R1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.3.0 0.0.0.255 [R1-acl-adv-3000]rule 15 deny ip source 192.168.1.1 0 destination any [R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

R2配置 [R2]interface g0/0/0 [R2-GigabitEthernet0/0/0]ip address 12.1.1.2 24 [R2-GigabitEthernet0/0/0]int g0/0/1 [R2-GigabitEthernet0/0/1]ip address 23.1.1.2 24 [R2-GigabitEthernet0/0/1]int g0/0/2 [R2-GigabitEthernet0/0/2]ip address 192.168.3.254 24 [R2]ip route-static 192.168.1.0 24 12.1.1.1 [R2]ip route-static 192.168.2.0 24 23.1.1.3

R3配置 [R3]interface g0/0/0 [R3-GigabitEthernet0/0/0]ip address 23.1.1.3 24 [R3-GigabitEthernet0/0/0]int g0/0/1 [R3-GigabitEthernet0/0/1]ip address 192.168.2.254 24 [R3]ip route-static 0.0.0.0 0 23.1.1.2

验证配置效果 1.Client1可以访问Server1的Web服务；

2.Client1可以ping通网络192.168.3.0/24

3.Client1不能ping通网络192.168.2.0/24，以及其他网段

Client1通Server1

Client1通R3

三、华为ACL综合应用 1.R1只允许WG登录，WG能ping通Server1和Client1 2.YF和CW之间不能互通，但都可以和WG互通 3.YF可以访问Client1 4.CW不能访问Client1 5.YF和CW只能访问Server1的WWW服务 6.只有WG才能访问Server1的所有服务

WG配置 [WG]interface g0/0/0 [WG-GigabitEthernet0/0/0]ip address 10.1.1.1 24

R2配置 [R2]interface g0/0/0 [R2-GigabitEthernet0/0/0]ip address 10.1.1.254 24 [R2-GigabitEthernet0/0/0]int g0/0/1 [R2-GigabitEthernet0/0/1]ip address 11.1.1.254 24 [R2-GigabitEthernet0/0/1]int g0/0/2 [R2-GigabitEthernet0/0/2]ip address 12.1.1.2 24

R1配置 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]ip address 12.1.1.2 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip address 8.8.8.254 24 [R1-GigabitEthernet0/0/1]int g0/0/2 [R1-GigabitEthernet0/0/2]ip address 13.1.1.1 24 [R1-GigabitEthernet0/0/2]int g0/0/0 [R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24

R3配置 [R3]interface g0/0/0 [R3-GigabitEthernet0/0/0]ip address 13.1.1.3 24 [R3-GigabitEthernet0/0/0]int g0/0/1 [R3-GigabitEthernet0/0/1]ip address 14.1.1.254 24 [R3-GigabitEthernet0/0/1]int g0/0/2 [R3-GigabitEthernet0/0/2]ip address 15.1.1.254 24

WG配置（OSPF） [WG]ospf 1 router-id 10.1.1.1 [WG-ospf-1]area 0 [WG-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

R2配置（OSPF） [R2]ospf 1 router-id 12.1.1.1 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 11.1.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

R1配置（OSPF） [R1]ospf 1 router-id 13.1.1.1 [R1-ospf-1]ar [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]net [R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 8.8.8.0 0.0.0.255

R3配置（OSPF） [R3]ospf 1 router-id 14.1.1.1 [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 15.1.1.0 0.0.0.255

R1配置（ACL） [R1]acl 2000 // 创建基本ACL 2000 [R1-acl-basic-2000]rule 5 permit source 10.1.1.1 0 // 仅仅允许 192.168.10.1 的流量 [R1]user-interface vty 0 4 // 进入 VTY，配置 telnet 参数 [R1-ui-vty0-4]acl 2000 inbound // 在 VTY 入向，应用 ACL 2000 [R1-ui-vty0-4]authentication-mode aaa // 进入 VTY ，开启 AAA 认证模式 [R1-ui-vty0-4]aaa // 进入 AAA 模式 [R1-aaa]local-user HCIE password cipher HUAWEI // 创建用户 HCIE 和 密码 HUAWEI [R1-aaa]local-user HCIE service-type telnet // 为用户 HCIE 指定 telnet 服务

R2配置（ACL） [R2]acl 3000 [R2-acl-adv-3000]rule 10 permit ip source 11.1.1.1 0 destination 10.1.1.1 0 //允许11.1.1.1和10.1.1.1之间的所有流量 [R2-acl-adv-3000]rule 20 permit ip source 11.1.1.1 0 destination 8.8.8.8 0 //允许11.1.1.1和8.8.8.8之间所有的流量 [R2-acl-adv-3000]rule 30 permit tcp source 11.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允许 11.1.1.1 仅能访问 15.1.1.1的 web 服务 [R2-acl-adv-3000]rule 40 deny ip source 11.1.1.1 0 destination any //拒绝所有类型的流量 [R2]interface g0/0/1 // 进入YF的网关接口 [R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 // 在接口的入方向调用 ACL 3000

R3配置（ACL） [R3]acl 3000 [R3-acl-adv-3000]rule 10 permit ip source 14.1.1.1 0 destination 10.1.1.1 0 //允许14.1.1.1和10.1.1.1之间的所有流量 [R3-acl-adv-3000]rule 20 permit tcp source 14.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允许 14.1.1.1 仅能访问 15.1.1.1之间的 web 流量 [R3-acl-adv-3000]rule 30 deny ip source 14.1.1.1 0 destination any // 拒绝所有其他类型的流量 [R3]interface g0/0/1 // 进入 CW 的网关接口 [R3-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 // 在接口的入方向调用 ACL 3000

验证配置效果 WG能登录R1

WG能ping通Server1和Client1

YF和CW之间不能互通，但可以和WG互通

YF不能ping通Server1

YF能访问Server1的WWW服务

CW不能ping通Server1和Client1

CW能访问Server1的WWW服务

————————————————  

精彩文章