目錄

實(shí)驗(yàn)環(huán)境：

?實(shí)驗(yàn)步驟：

步驟一：

1、acl類型（這里說(shuō)明基礎(chǔ)acl和高級(jí)acl類型的區(qū)別）：

2、創(chuàng)建acl：

?3、在acl中寫入規(guī)則（基于IP地址來(lái)拒絕）

?步驟二：調(diào)用規(guī)則

?1、進(jìn)入數(shù)據(jù)必經(jīng)的接口：

?2、調(diào)用規(guī)則：

3、檢查是否成功調(diào)用規(guī)則：

實(shí)驗(yàn)環(huán)境：

首先配置好三層交換機(jī)，在上一篇文章有詳細(xì)說(shuō)明，配置三層交換機(jī)是實(shí)現(xiàn)隔離病毒但能連通通信。實(shí)現(xiàn)不同網(wǎng)絡(luò)，不同vlan的機(jī)器能夠通信，這些pc機(jī)并不能直接通過(guò)中間的交換機(jī)實(shí)現(xiàn)通信，必須將數(shù)據(jù)包轉(zhuǎn)到三層交換機(jī)，由三層交換機(jī)實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)來(lái)通信，也就是三層交換機(jī)是pc機(jī)的網(wǎng)關(guān)。

這個(gè)環(huán)境里，pc機(jī)可以和任何網(wǎng)關(guān)和不同vlan的pc機(jī)通信。我們配置ACL訪問(wèn)控制列表是為了實(shí)現(xiàn)pc機(jī)只能訪問(wèn)vlan 20里的pc機(jī)，讓他沒(méi)有權(quán)限訪問(wèn)vlan 30的pc機(jī)。

?pc機(jī)的網(wǎng)關(guān)就是三層交換機(jī)中，各個(gè)vlan的IP地址。

?可以看到PC機(jī)能夠和不同vlan不同網(wǎng)段的pc機(jī)通信，就是因?yàn)榕渲昧巳龑咏粨Q機(jī)。

?實(shí)驗(yàn)步驟：

步驟一：創(chuàng)建一個(gè)訪問(wèn)控制規(guī)則

步驟二：調(diào)用這個(gè)規(guī)則

步驟一：

1、acl類型（這里說(shuō)明基礎(chǔ)acl和高級(jí)acl類型的區(qū)別）：

基礎(chǔ)acl（Basic ACL）：在做訪問(wèn)控制的時(shí)候只看源地址，不會(huì)去檢查目標(biāo)地址，只會(huì)檢查源地址

高級(jí)acl（Advanced ACL）：在做訪問(wèn)控制的時(shí)候會(huì)檢查目標(biāo)地址。（這個(gè)實(shí)驗(yàn)需要會(huì)檢查目標(biāo)地址的acl）

2、創(chuàng)建acl：

創(chuàng)建名為test的acl：（不推薦直接這樣創(chuàng)建）

acl name test

正確的創(chuàng)建方法：

?創(chuàng)建acl時(shí)命名并輸入acl類型：高級(jí)（advance）、基礎(chǔ)（basic）

#創(chuàng)建一個(gè)名為test的高級(jí)acl
acl name test advance

#命令使用方法
acl name 名字 acl類型

?3、在acl中寫入規(guī)則（基于IP地址來(lái)拒絕）

在寫acl掩碼時(shí)需要反著寫，acl設(shè)定的規(guī)則(規(guī)定)例如：

原本的：255.255,255,0

反著寫：0.0.0.255? ? ? #將255換成0,0換成255

#rule deny ip? ?拒絕規(guī)則ip協(xié)議

#?source? ? 源地址
#destination? ?目的地

?拒絕訪問(wèn)規(guī)則：

#拒絕源地址為192.168.10.0網(wǎng)段、訪問(wèn)目標(biāo)(目的地)為192.168.30.0的網(wǎng)段的通信
rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255

#命令使用方式：
rule deny ip source 源地址網(wǎng)段 子網(wǎng)掩碼（反著寫） destination 目的地網(wǎng)段 子網(wǎng)掩碼（反著寫）

?允許訪問(wèn)規(guī)則：

規(guī)則允許ip源地址任意，訪問(wèn)目標(biāo)任意的的數(shù)據(jù)包通信
rule permit ip source any destination any

?也就是拒絕網(wǎng)段為10的pc機(jī)訪問(wèn)網(wǎng)段為30的pc機(jī)。而其他訪問(wèn)不受限制?

查看定制的規(guī)則：

dis this

?步驟二：調(diào)用規(guī)則

?調(diào)用規(guī)則需要在數(shù)據(jù)包必經(jīng)的接口，也就是必須要通過(guò)的接口上調(diào)用，這樣才能夠管理到數(shù)據(jù)的通行。

?1、進(jìn)入數(shù)據(jù)必經(jīng)的接口：

int g0/0/1

?2、調(diào)用規(guī)則：

在該接口對(duì)進(jìn)來(lái)的數(shù)據(jù)進(jìn)行過(guò)濾，按照acl名為test的規(guī)則過(guò)濾。

traffic-filter inbound acl name test

3、檢查是否成功調(diào)用規(guī)則：

發(fā)現(xiàn)用10網(wǎng)段的pc機(jī)ping不通30網(wǎng)段的pc機(jī)，證明調(diào)用規(guī)則游泳，接下來(lái)檢查該規(guī)則是否影響別的網(wǎng)段的pc機(jī)通信?

?發(fā)現(xiàn)訪問(wèn)20網(wǎng)段的pc機(jī)并沒(méi)有影響，達(dá)成最終的實(shí)驗(yàn)效果。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-470803.html

到了這里，關(guān)于華為ensp模擬器 配置ACL訪問(wèn)控制列表的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！