一、拓扑图展示

华为拓扑---acl的高级使用_第1张图片


二、 你要知道的知识点

1.什么是acl?

访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。

2.acl的作用

配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。


三、 实验目的

1.让pc1和pc2属于vlan10,pc3属于vlan20,pc4属于vlan30。
2.给R1路由设置vlan10的网关,并在上面设置RIP。
3.给R2路由器设置vlan20和vlan30网关,R2设置RIP,R1与R2的之间的网段为192.168.4.0/24
4.R2使用单臂路由配置vlan20和vlan30的网关。
5.使用acl让PC1和PC3不能ping通
6.使用acl让PC4只能ping通PC2,其他都ping不通


四、 所需设备以及相关设置

1.PC机

设备 IP地址 IP网关 子网掩码 所属vlan
pc1 192.168.1.1 192.168.1.254 255.255.255.0 vlan10
pc2 192.168.1.2 192.168.1.254 255.255.255.0 vlan10
pc3 192.168.2.1 192.168.2.254 255.255.255.0 vlan20
pc4 192.168.3.1 192.168.3.254 255.255.255.0 vlan30

2.交换机

设备 接口 所属vlan
LSW1 e0/0/1 vlan10
LSW1 e0/0/2 vlan10
LSW1 e0/0/3 vlan10
LSW2 e0/0/2 vlan20
LSW2 e0/0/3 vlan30
LSW2 e0/0/1 trunk

3.路由器

设备 接口 网关 RIP宣告网段
R1 g0/0/0 192.168.1.254 192.168.1.0/24和192.168.4.0/24
R1 g0/0/1 192.168.4.1 192.168.1.0/24和192.168.4.0/24
R2 g0/0/1 .1 192.168.2.254 192.168.2.0/24、192.168.3.0/24 、192.168.4.0/24
R2 g0/0/1.2 192.168.3.254 192.168.2.0/24、192.168.3.0/24 、192.168.4.0/24
R2 g0/0/0 192.168.4.2 192.168.2.0/24、192.168.3.0/24 、192.168.4.0/24

五、 配置思路以及代码展示

1.LSW1配置思路:

a、创建vlan10
b、让三个端口加入vlan10

undo terminal  monitor  //撤销终端监控
system-view //进入系统模式

[Huawei]sysname SW1 //设置交换机名称为SW1

[SW1]vlan 10 //创建vlan10
[SW1-vlan10]quit //退出

[SW1]port-group group-member Ethernet 0/0/1 to Ethernet 0/0/3 //把e0/0/1-3加入一个组
[SW1-port-group]port link-type access //设置组内端口模式为接入
[SW1-Ethernet0/0/1]port link-type access 
[SW1-Ethernet0/0/2]port link-type access 
[SW1-Ethernet0/0/3]port link-type access 

[SW1-port-group]port default vlan 10 //让组内端口加入vlan10
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-Ethernet0/0/3]port default vlan 10
[SW1-port-group]quit

查询结果图
华为拓扑---acl的高级使用_第2张图片

2.LSW2配置思路:

a、创建vlan20和30
b、让端口e0/0/2加入vlan20,端口e0/0/3加入vlan30,端口e0/0/1设置为trunk模式。

undo terminal  monitor  //撤销终端监控
system-view //进入系统模式

[Huawei]sysname SW2 //设置交换机名称为SW2

[SW2]vlan batch 20 30  //创建vlan20和30

[SW2]interface Ethernet 0/0/2  //进入端口e0/0/2
[SW2-Ethernet0/0/2]port link-type access //设置端口为接入模式
[SW2-Ethernet0/0/2]port default vlan 20  //加入vlan20
[SW2-Ethernet0/0/2]quit  //退出

[SW2]interface Ethernet 0/0/3 //进入端口e0/0/3
[SW2-Ethernet0/0/3]port link-type access //设置端口为接入模式
[SW2-Ethernet0/0/3]port default vlan 30 //加入vlan30
[SW2-Ethernet0/0/3]quit //退出

[SW2]interface ethernet 0/0/1 //进入端口e0/0/1
[SW2-Ethernet0/0/1]port link-type trunk  //设置端口为中继模式
[SW2-Ethernet0/0/1]port trunk allow-pass  vlan all  //加入所有端口
[SW2-Ethernet0/0/1]quit  //退出

查询结果图
华为拓扑---acl的高级使用_第3张图片

3.R1配置思路:

a、配置vlan10的网关:192.168.1.254/24,在接口g0/0/0上,
b、配置端口g0/0/1上网段ip:192.168.4.1/24
c、设置并开启rip,设置网段宣告:192.168.1.0/24和192.168.4.0/24

undo terminal  monitor  //撤销终端监控
system-view //进入系统模式

[Huawei]sysname R1 //设置路由器名称为R1

[R1]interface gigabitethernet 0/0/0  //进入端口g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown  //开启端口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //设置vlan10的网关
[R1-GigabitEthernet0/0/0]quit  //退出

[R1]interface gigabitethernet 0/0/1  //进入端口g0/0/1
[R1-GigabitEthernet0/0/0]undo shutdown  //开启端口
[R1-GigabitEthernet0/0/0]ip add 192.168.4.1 24 //设置端口g0/0/1上网段ip
[R1-GigabitEthernet0/0/0]quit  //退出

[R1]rip //开启rip
[R1-rip-1]version 2  //设置版本v2
[R1-rip-1]network 192.168.1.0  //宣告网段192.168.1.0/24
[R1-rip-1]network 192.168.4.0  //宣告网段192.168.4.0/24
[R1-rip-1]quit   //退出

[R1]display current-configuration //查看所有配置
华为拓扑---acl的高级使用_第4张图片

4.R2配置思路:

a、配置端口g0/0/0上网段ip:192.168.4.2/24
b、设置并开启单臂路由配置g0/0/1.1的vlan20的网关:192.168.2.254/24,g0/0/1.2的vlan30的网关192.168.3.254/24
c、设置并开启rip,设置网段宣告:192.168.2.0/24、192.168.4.0/24和192.168.3.0/24

undo terminal  monitor  //撤销终端监控
system-view //进入系统模式

[Huawei]sysname R2 //设置路由器名称为R2

[R2]interface GigabitEthernet 0/0/0  //进入端口g0/0/0
[R2-GigabitEthernet0/0/0]undo shutdown  //开启端口
[R2-GigabitEthernet0/0/0]ip add 192.168.4.2 24   //设置端口g0/0/0上网段ip
[R2-GigabitEthernet0/0/0]quit  //退出

[R2]interface GigabitEthernet 0/0/1  //进入端口g0/0/1
[R2-GigabitEthernet0/0/0]undo shutdown  //开启端口
[R2-GigabitEthernet0/0/0]quit  //退出

[R2]interface GigabitEthernet 0/0/1.1 //开启子端口 G0/0/1.1
[R2-GigabitEthernet0/0/1.1]dot1q termination vid 20 //封装dot1q协议,设置子接口对应vlan 20
[R2-GigabitEthernet0/0/1.1]ip address 192.168.2.254  24 //设置vlan 20的网关
[R2-GigabitEthernet0/0/1.1]arp broadcast  enable //开启子接口的ARP广播
[R2-GigabitEthernet0/0/1.1]quit //退出

[R2]interface GigabitEthernet 0/0/1.2 //开启子端口 G0/0/1.2
[R2-GigabitEthernet0/0/1.2]dot1q termination vid 30 //封装dot1q协议,设置子接口对应vlan 30
[R2-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24 //设置vlan 30的网关
[R2-GigabitEthernet0/0/1.2]arp broadcast  enable //开启子接口的ARP广播
[R2-GigabitEthernet0/0/1.2]quit //退出

[R2]rip  //开启rip
[R2-rip-1]version 2  //设置版本v2
[R2-rip-1]network 192.168.4.0  //宣告网段192.168.4.0/24
[R2-rip-1]network 192.168.3.0  //宣告网段192.168.3.0/24
[R2-rip-1]network 192.168.2.0  //宣告网段192.168.2.0/24
[R2-rip-1]quit  //退出

[R1]display current-configuration //查看所有配置
华为拓扑---acl的高级使用_第5张图片

5.使用acl让PC1和PC3不能ping通思路

a、网络要都能联通,相互都能ping通。
b、要让pc1和pc3不通,首先要创建acl,规则为阻止pc1和pc3的icmp联通。
c、在与pc1最近的端口上也就是e0/0/1上执行acl就可以了。

在LSW1中操作
[SW1]acl name MA1 advance  //开启acl并设置名称为MA1,模式为高级模式
[SW1-acl-adv-MA1]rule 5 deny icmp  source 192.168.1.1 0.0.0.0 destination 192.16
8.2.1 0.0.0.0  //设置规则为5,阻止IP从192.168.1.1 到192.168.2.1 联通(也就是PC1和PC3无法ping通)
[SW1-acl-adv-MA1]quit  //退出

[SW1]interface Ethernet 0/0/1  //进入端口e0/0/1
[SW1-Ethernet0/0/1]undo shutdown  //开启端口
[SW1-Ethernet0/0/1]traffic-filter inbound acl name MA1  //让acl在端口入站时执行
[SW1-acl-adv-MA1]quit  //退出

结果验证
[SW1]display acl name MA1 //查看acl MA1的规则
华为拓扑---acl的高级使用
华为拓扑---acl的高级使用_第6张图片
华为拓扑---acl的高级使用_第7张图片

6.使用acl让PC4只能ping通PC2,其他都ping不通

a、网络要都能联通,相互都能ping通。
b、要让pc4只能ping通pc2,首先要创建acl,要做两个规则先让pc4所有都不通,让后添加pc4能够ping通pc2的规格。
c、在与pc4最近的端口上也就是e0/0/3上执行acl就可以了。

在LSW2中操作
[SW2]acl name MA2 advance  //开启acl并设置名称为MA2,模式为高级模式
[SW2-acl-adv-MA2]rule 5 deny ip  //设置规则5 所有ip都不能联通
[SW2-acl-adv-MA2]rule 10 permit ip source 192.168.3.1 0.0.0.0 destination 192.168.1.2 0.0.0.0   //设置规则10 让pc4与pc2能够联通
[SW2-acl-adv-MA2]quit  //退出

[SW2]interface Ethernet 0/0/3  //进入端口e0/0/3
[SW2-Ethernet0/0/3]undo shutdown  //开启端口
[SW2-Ethernet0/0/3]traffic-filter inbound acl name MA2  //让acl在端口入站时执行
[SW2-Ethernet0/0/3]quit  //退出

结果图
[SW2]display acl name MA2 //查看acl MA2的规则
华为拓扑---acl的高级使用
华为拓扑---acl的高级使用_第8张图片
华为拓扑---acl的高级使用_第9张图片


六、给大家个思考题

能否使用acl让pc1和pc2不能ping通。恢复有积分!