一、ACL介绍
ACL(Access Control List)访问控制列表,其目的是为了对某种访问进行控制,使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
ps:华为默认允许通过数据包,思科默认拒绝通过。
二、ACL实验目的
允许技术部(192.168.3.0网段)访问服务器;
不允许事业部和外网访问服务器;
三、实验拓扑
四、实验配置
(1)R1配置
<Huawei>system-view
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.4.254 24
[R1-GigabitEthernet0/0/2]int g4/0/0
[R1-GigabitEthernet4/0/0]ip add 12.1.1.1 24
[R1-GigabitEthernet4/0/0]q
[R1-acl-adv-3000]rule 10 permit ip source 192.168.3.0 0.0.0.255 destination 192. 168.4.4 0
[R1-acl-adv-3000]rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 192.16.4.4 0
[R1-acl-adv-3000]rule 30 deny ip source 12.1.1.0 0.0.0.255 destination 192.168.4.4 0
[R1-acl-adv-3000]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
(2)R2配置
<Huawei>sys
[Huawei]sys R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[R2]ip route-static 0.0.0.0 0 12.1.1.1
(3)用PC1 PC2 R2 ping Server1验证
用PC1 和 R2 ping Server1不通,PC2可以,实验验证成功。