配置高階ACL

配置高階acl

2.1 問題

如圖配置ip位址

允許client1訪問server1的web服務

允許client1 訪問網路 192.168.2.0/24

禁止client1 訪問其他網路

2.2 方案

搭建實驗環境，如圖-2所示。

圖-22.3 步驟

實現此案例需要按照如下步驟進行。

1）配置終端裝置 - client1

掩碼：255.255.255.0

閘道器：192.168.1.254

2）配置終端裝置 - pc1

掩碼：255.255.255.0

閘道器：192.168.2.254

3）配置終端裝置 - server1

掩碼：255.255.255.0

閘道器：192.168.3.254

配置 http 服務

4）配置網路裝置 - r1

>system-view                                         // 進入系統模式

[huawei]sysname r1                                          // 更改裝置名稱
[r1]inte***ce gi0/0/2                                       // 連線 client1
[r1-gigabitethernet0/0/2] ip address 192.168.1.254 24
[r1-gigabitethernet0/0/2] quit 
[r1]inte***ce gi0/0/0                                       // 連線 r2的介面
[r1-gigabitethernet0/0/0] ip address 192.168.12.1 24
[r1-gigabitethernet0/0/0] quit 
[r1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2        // 去往其他網段的預設路由

>system-view                                         // 進入系統模式

[huawei]sysname r2                                          // 更改裝置名稱
[r2]inte***ce gi0/0/2                                       // 連線 pc1 
[r2-gigabitethernet0/0/2] ip address 192.168.2.254 24
[r2-gigabitethernet0/0/2] quit 
[r2]inte***ce gi0/0/1                                       // 連線 r1 的介面
[r2-gigabitethernet0/0/1] ip address 192.168.12.2 24
[r2-gigabitethernet0/0/1] quit 
[r2]inte***ce gi0/0/0                                       // 連線 r3 的介面
[r2-gigabitethernet0/0/0] ip address 192.168.23.2 24
[r2-gigabitethernet0/0/0] quit 
[r2]ip route-static 192.168.1.0 255.255.255.0  192.168.12.1  // 去往client1的網段
[r2]ip route-static 192.168.3.0 255.255.255.0  192.168.23.3  // 去往server1的網段

>system-view                                         // 進入系統模式

[huawei]sysname r3                                          // 更改裝置名稱
[r3]inte***ce gi0/0/2                                       // 連線 server1
[r3-gigabitethernet0/0/2] ip address 192.168.3.254 24
[r3-gigabitethernet0/0/2] quit 
[r3]inte***ce gi0/0/1                                       // 連線 r2 的介面
[r3-gigabitethernet0/0/1] ip address 192.168.23.3 24
[r3-gigabitethernet0/0/1] quit 
[r3]ip route-static 0.0.0.0  0.0.0.0  192.168.23.2       // 去往其他網段的預設路由

[r1]acl 3000                                   // 建立高階acl

[r1-acl-adv-
3000
]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.3.1
0 destination-port eq 80                     // 允許 client 到 server 的 web 流量
[r1-acl-adv-
3000
]rule 10 permit ip source 192.168.1.1 0 destination 192.168.2.0
0.0.0.255                                     // 允許 client 到 pc1 網段的所有流量
[r1-acl-adv-
3000
]rule 15 deny ip source 192.168.1.1 0 destination any  
//拒絕所有其他流量
[r1-acl-adv-
3000
]quit
[r1]inte***ce gi0/0/2                         // client 的閘道器介面
[r1-gigabitethernet0/0/2] traffic-filter inbound acl 3000  // 介面的入向呼叫acl

client1可以通過 http 客戶端訪問server1的網頁(web服務)

client1可以ping通網路192.168.2.0/24 中的 pc1

client1不能ping通網路192.168.3.0/24，以及其他網段，比如192.168.12.0 中的介面位址

思科高階配置 配置擴充套件ACL

問題 在網路中很有可能要允許或拒絕的並不是某乙個源ip位址，而是根據目標位址或是協議來匹配。但是標準訪問控制列表只能根據源ip位址來決定是否允許乙個資料報通過。1 配置擴充套件acl實現拒絕pc2 ip位址為192.168.0.20 訪問web server的web服務，但可訪問其他服務。方案為了實...

思科高階配置 配置擴充套件命名ACL

問題 使用基本編號的acl沒有實際意義，只有通過閱讀具體的條目才能得知該acl的作用。而且acl的編號有限制，如傳統的標準acl用199表示，擴充套件acl用100199表示。1 配置擴充套件命名acl實現拒絕pc2 ip位址為192.168.0.20 訪問web server web服務，但可訪問...

華為ACL高階配置實驗過程

1 允許client1訪問server1的web服務 2 允許client1訪問網路192.168.2.0 24 3 禁止client1訪問其它網路 搭建實驗環境 實現此案例需要按照如下步驟進行。ar1 ip route static 0.0.0.0 0.0.0.0 192.168.12.2 ar3...