【华为HCNA】访问控制列表ACL实例配置

FXMAR

【华为HCNA】访问控制列表ACL实例配置
　　ACL的概念
　　访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络***等等。
　　应用场景

　　在小型企业的网络中，现要求只有经理的PC（源地址是192.168.2.1）才能访问互联
　　实验目的
　　允许主机B（经理的PC）访问互联网，禁止主机A访问互联网
　　网络拓扑图如下：

　　操作步骤
　　一、配置端口类型以及ip地址
　　[SW1]vlan batch  10  20  30 //创建VLAN
　　[SW1]interface  GigabitEthernet  0/0/1
　　[SW1-GigabitEthernet0/0/1]port link-type access //设置端口类型
　　[SW1-GigabitEthernet0/0/1]port default  vlan  10
　　[SW1]interface  GigabitEthernet  0/0/2
　　[SW1-GigabitEthernet0/0/1]port link-type  access
　　[SW1-GigabitEthernet0/0/1]port default  vlan  20
　　[SW1]interface  Vlanif  10
　　[SW1-Vlanif10]ip  address  192.168.1.254  24
　　[SW1]interface  Vlanif  20
　　[SW1-Vlanif10]ip  address  192.168.2.254  24
　　[SW1]interface  Vlanif  30
　　[SW1-Vlanif30]ip address  192.168.16.1 24
　　##################################################
　　[AR6]interface  GigabitEthernet  0/0/0
　　[AR6-GigabitEthernet0/0/1]ip  address  192.168.16.6  24
　　[AR6]interface  GigabitEthernet  0/0/1
　　[AR6-GigabitEthernet0/0/1]ip  address  200.1.1.1  24
　　##################################################
　　[R3]interface  GigabitEthernet 0/0/1
　　[R3-GigabitEthernet0/0/1]ip  address  200.1.1.2  24
　　PC6和PC7配置ip和网关

　　二、配置静态路由，实现全网互通
　　[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.16.6
　　[AR6]ip route-static 0.0.0.0 0.0.0.0 192.168.16.1
　　[R3]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
　　在PC6和PC7上测试是否能访问R3

　　现象：PC6和PC7都能访问R3
　　三、实现主机B（经理的PC）访问互联网,本案例中R3代替互联网。在AR6上做ACL
　　[AR6]acl 2000
　　[AR6-acl-basic-2000]rule  deny  source  192.168.1.1  0.0.0.0
　　[AR6]interface GigabitEthernet 0/0/1
　　[AR6-GigabitEthernet0/0/1]traffic-filter outbound  acl  2000
　　查询ACL与接口的绑定情况

　　在主机A上ping互联网ip，发现不通，即ACL禁止了主机A的流量访问互联网，同时允许主机B（经理的PC）可以访问互联网
　　测试：主机A和主机B访问互联网的情况，如下图。

　　现象： 实现了最终的效果。
　　更多资讯，请关注×××公众号“广州华尔思网络实验室”动态信息。

　　资源来源：广州华尔思网络实验室   【官网：www.gzwallslab.net】
　　学习群：  广州华尔思学习群 543623993 【可以在QQ群里下载到PDF版文件】
　　广州华尔思学习群 2群 518216801【可以在QQ群里下载到PDF版文件】