华为eNSP:ACL的配置-访问控制技术

一、拓扑图

二、路由器的配置

1、先配置全网通

AP1:

[Huawei]interface gigabitether 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.3.254 24
[Huawei-GigabitEthernet0/0/0]interface gigabitether 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/1]interface gigabitether 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/2]interface gigabitether 4/0/0
[Huawei-GigabitEthernet4/0/0]ip address 1.1.1.1 24
[Huawei-GigabitEthernet4/0/0]quit 

AP2:

system-view
[Huawei]interface gigabitether 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.2 24 
[Huawei-GigabitEthernet0/0/0]quit 
[Huawei]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
#配置一条默认路由指向对方路由器

2、配置ACL

AP1:

[Huawei]acl 3000
#启用编号为3000的ACL
[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 19
2.168.3.1 0.0.0.0 
#定义acl规则，  规则号10、拒绝、192.168.1.0网段+反掩码、访问192.168.3.1+掩码（因为是唯一地址所以掩码设0.0.0.0）        
[Huawei-acl-adv-3000]rule 20 permit ip source 192.168.2.0 0.0.0.255 destination 
192.168.3.1 0.0.0.0
#定义acl规则，   规则号20、允许、192.168.2.0网段+反掩码、访问192.168.3.1+掩码
[Huawei-acl-adv-3000]rule 30 deny ip source any destination 192.168.3.1 0.0.0.0
#定义acl规则， 规则号30、拒绝、所有网段（针对Internet）、访问192.168.3.1+掩码
[Huawei-acl-adv-3000]quit
[Huawei]interface gigabitether 0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
#将acl应用到接口上

三、测试ACL配置

1、将PC的IP配好（例PC1其它省略）

 2、未配置ACL前全网通（例PC1 ping Internet，其它省略）

 3、配置好ACL后，再次ping通测试

生产部已不可访问财务服务器，但还是可以访问Internet

 总裁办公室可以访问财务服务器，可以访问Internet

 Internet不可以访问财务服务器

 四、注意

1、当配置acl时，如果是固定ip地址，反掩码要设置为0.0.0.0（或简写为0）

2、配置好acl后一定要记得应用到端口上

五、ACL简介

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。