华为eNSP—ACL访问控制实验（含高级ACL基本配置）

实验一

实验环境

实验需求

基本ACL

1. 规划并配置IP地址
2. 配置OSPF实现全网互通
3. 配置ACL，实现PC1不能访问PC2，但可以正常访问PC3
4. PC2不能访问PC3

实验步骤

配置PC1-PC3 IP地址
​

配置AR1 ip
[AR1]int g 0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g 0/0/1
[AR1-GigabitEthernet0/0/1]ip add 10.1.12.1 24
​

配置AR2 ip
[AR2]int g 0/0/0
[AR2-GigabitEthernet0/0/0]ip add 10.1.12.254 24
[AR2-GigabitEthernet0/0/0]int g 0/0/1
[AR2-GigabitEthernet0/0/1]ip add 10.1.23.1 24
[AR2-GigabitEthernet0/0/1]int g 0/0/2
[AR2-GigabitEthernet0/0/2]ip add 192.168.2.254 24
​

​

配置AR3 ip
[AR3]int g 0/0/0
[AR3-GigabitEthernet0/0/0]ip add 10.1.23.254 24
[AR3-GigabitEthernet0/0/0]int g 0/0/1
[AR3-GigabitEthernet0/0/1]ip add 192.168.3.254 24
​

配置AR1 OSPF
[AR1]ospf 1
[AR1-ospf-1]a 1
[AR1-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.1]network 10.1.12.0 0.0.0.255
​

​

配置AR2 OSPF
[AR2]ospf 1
[AR2-ospf-1]a 1
[AR2-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.1]network 10.1.12.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.1]network 10.1.23.0 0.0.0.255
​

配置AR3 OSPF
[AR3]ospf 1
[AR3-ospf-1]a 1
[AR3-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.1]network 10.1.23.0 0.0.0.255
​

查看邻居关系

​

​

配置AR2 ACL
[AR2-ospf-1-area-0.0.0.1]acl 2000
[AR2-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255
[AR2-acl-basic-2000]int g 0/0/2
[AR2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
​

PC1 ping PC2

不能ping通
​

PC1 ping PC3

可以ping通
​

配置AR3 ACL
[AR3]acl 2000
[AR3-acl-basic-2000]rule 5 deny source 192.168.2.0 0.0.0.255
[AR3-acl-basic-2000]int g 0/0/1
[AR3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
​

PC2 ping PC3

不能ping通

实验二

实验环境

实验需求

高级ACL

1. 通过配置高级ACL实现上述需求

   第3步的ACL在R2的0/0/0接口配置
   第4步的ACL在R2的0/0/1接口配置

2. 在R3上开启telent, 允许R1远程登录，但是不能ping同R3,不允许R2远程登录，但是可以ping通R3

实验步骤

配置R3 Telnet服务
[AR3]user-interface vty 0 4
[AR3-ui-vty0-4]set authentication password cipher huawei
[AR3-ui-vty0-4]user privilege level 3
​

配置R3 高级ACL
[AR3]acl number 3000
[AR3-acl-adv-3000]rule 5 deny icmp source 10.1.12.1 0 destination 10.1.23.254 0
[AR3-acl-adv-3000]rule 6 deny tcp source 10.1.23.1 0 destination 10.1.23.254 0
[AR3-acl-adv-3000]int g 0/0/0
[AR3-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
​

AR1 ping & telnet AR3

不能ping 可以telnet

AR2 ping & telnet AR3

可以ping 不能telnet

总结

这篇文章主要是ACL基本的配置以及高级ACL的篇配置，关键代码指令以及过程已在上面给出，有问题欢迎留言讨论~