华为ACL原理及配置

今日目标

理解ACL原理

掌握华为基本ACL的配置

掌握华为高级ACL的配置

ACL原理

什么是ACL

访问控制列表（Access Control List,ACL）是应用在路由器接口的指令列表（即规则）

读取第三层、第四层报文头信息

根据预先定义好的规则对报文进行过滤

ACL的主要类型

ACL规则

每个ACL可以包含多个规则，路由器根据规则对数据流量进行过滤

*默认规则是允许

基本ACL概述

华为基本ACL

-基于源IP地址过滤数据包

-列表号是2000~2999

基本ACL的配置案例

需求描述

--禁止PC1访问服务器Server1

--允许其他所有的访问流量

高级ACL

--基于源IP地址、目的IP地址、源端口、目的端口、协议过滤数据包

列表号是3000-3999

配置案例

需求描述

允许Client1访问Server1的WEB服务

允许Client1访问网络192.168.2.0/24

禁止Client1访问其他网络

ACL综合应用

项目概述

网络规划

--每个部门使用一个VLAN

--每个VLAN分配一个C类地址

--使用MSTP实现VLAN负载均衡

--双核心使用VRRP技术

安全规划

--网络设备只允许网管区IP登录

--部门之间不能互通，但都可以和网管区互通

--财务部不能访问Internet

--部门只能访问服务器WWW服务

--只有网络管理员才能通过远程桌面管理服务器

简化的实验要求

--交换机用路由器代替，WG主机用路由器模拟

--R1只允许WG登录

--YF和CW之间不能互通，但都可以和WG互通

--WG和YF可以访问Client1

--CW不能访问Client1

--YF和CW只能访问Server1的WWW服务

--只有WG才能访问Server1DE 所有服务

设备访问控制

--R1只允许WG登录

在R1上配置

YF主机访问控制

--YF和CW之间不能互通

--YF可以和WG\Client1互通

--YF只能访问SERVER1的WWW服务

在R2上配置

CW主机访问控制

--CW和YF、Client1之间不能互通

--CW可以和WG互通

--CW只能访问Server1的WWW服务

在R3上配置