华为 配置ACL
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为 配置ACL相关的知识,希望对你有一定的参考价值。
实验:
实验1:
pc1 pc2不同 其他全通:
思路及步骤:
1.首先保证全网互通
1.1配置AR1 的0端口ip:192.168.10.254 255.255.255.0
2端口ip:192.168.12.1 255.255.255.0
配置静态路由:
ip route-static 192.168.20.0 255.255.255.0 192.168.12.2
1.2配置AR2的0端口ip:192.168.20.254 255.255.255.0
2端口ip:192.168.12.2
配置静态路由:
ip route-static 192.168.10.0 255.255.255.0 192.168.12.1
此时个pc机皆可互ping通
2.在AR2的0端口 创建ACL 3000,拒绝pc2访问pc1 配置如下:
acl 3000
rule 5 deny icmp sourse 192.168.20.2 0.0.0.0 destiation
192.168.10.1 0.0.0.0
在0端口下启动:
interface g0/0/0
traffic-filter inbound acl 3000
3.配置:
display acl 3000 (查看其配置)
4.此时 pc2与pc1机ping不同 但各自与其他pc机可以ping通
pc2:
pc1:
=========================================================================================================
实验2:
pc4和pc5 可以全网互通, 其他主机全不通:
思路及步骤:
1.在实验1的基础上进行
2.在AR2的0端口 创建ACL 命名为only pc4-5 (配置先允许 后拒绝)
(x 默认为5 以5的倍数递增,也可手动输入,其他红色部分可以不输入)
acl name only pc4-5
rule x permit ip sourse 192.168.20.3 0.0.0.0 destination any
rule x permit ip sourse 192.168.20.3 0.0.0.0 destination any
rule x deny ip souse any destination any
3. 在0端口下启动:
interface g0/0/0
traffic-filter outbound acl onlypc4-5
4.配置:
display acl 3999 (查看其配置)
5. 此时 pc4与pc5机ping其他pc机可以ping通,
========================================================================================================================================
重点:
ACL:access control list ,访问 控制 列表
-作用:
匹配感兴趣的流量。
-实现:
#规则
#动作(允许/拒绝)
#事件
-表示:
# ID
# name
-类型:
#标准ACL/基本ACL
ID
name
#扩展ACL/高级ACL
ID
name
--------------------------------------------------------------------
ACL的配置思路:
0、确保原有数据的连通性(基于现网需要来确定);
在没有实施ACL之前,PC-1 与 PC-2 之间是互通的;
1、查看设备上已经存在的ACL
[R1] display acl [2000] | all
2、创建ACL
[R1] acl 2000 [match-order {config} | {auto} ]
[R1-acl-basic-2000] rule [id] deny source 192.168.10.1 0.0.0.0
3、调用ACL
[R1]interface gi0/0/0
[R1-gi0/0/0]tranffic-filter inbound acl 2000
4、验证、测试、保存
display acl 2000 //查看ACL的配置条目信息;
display traffic-filter applied-record //查看ACL的调用信息;
display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound
//查看特定端口上调用的ACL的使用信息;
ping x.x.x.x
save
实验拓扑图:
PC-1 ---> PC-2
#研究清楚流量的转发路径(来回路径)
&干掉去的流量
&干掉回的流量
#研究流量本身(特点+结构)
L2 + L3 + ICMP + FCS
ip-acl
L3
source-ip + destination-ip
基本ACL
-仅仅关注IP头部中的 source-ip ;
高级ACL
-可以同时关注 source 和 destination ,
并且,还可以关注 IP 头部后面的内容,
比如 TCP/UDP
====================================================================
删除ACL:
1、正确的删除姿势
#首先解除 ACL 调用关系
Interface gi0/0/0
undo traffic-filter inbound
#其次删除 ACL 条目本身
undo acl 2000
#最后删除的最终结果
2、当调用一个不存在的 ACL 时,表示的是允许所有;
注意:
1、同一个端口的,同一个方向,只能同时存在一个 ACL ;
2、如果想更改端口上调用的 ACL ,必须:
首先,删除端口上的 ACL 调用命令;
再次,重新调用一个新的 ACL ;
3、端口上的 ACL ,不允许直接覆盖;
4、华为中的ACL,没有匹配住的流量,默认是允许的;
5、基本ACL/标准ACL,强烈建议调用在“距离目标设备”近的地方;
--------------------------------------------------------------------
3层ACL
基本ACL
数字ACL
命名ACL
高级ACL
数字ACL
命名ACL
2层ACL
~~~~~~~~~~~~~~~~~~~~~
1、命名的ACL在创建的时候,需要指定类型;
2、在ACL中,如果不写 source 或者不写 destination ,则表示所有源或目标
3、在配置ACL的过程中,如果在输入 source 或 destination 的时候,直接回车
则代表“所有”;
=================================================================
R2:PC1-PC2不通,其他全部互通;
1、创建ACL
[R2]acl 3000
[R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0
destination 192.168.10.1 0.0.0.0
2、调用ACL
[R2]interface gi0/0/0
[R2-gi0/0/0]traffic-filter inbound acl 3000
3、验证、测试、保存
display acl 3000
display traffic-filter applied-record
PC2:
ping 192.168.10.1 ,no
ping 192.168.10.3 ,yes
PC4/5:
ping x.x.x.x , yes
<R2>save
R2:PC4/5与全网其他主机互通,其他流量全部不通;
1、创建ACL
[R2]acl name Only-PC4-5 advance
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0
[R2-acl-advance-Only-PC4-5]rule 100 deny ip
2、调用ACL
[R2]interface gi0/0/0
[R1-gi0/0/0] traffic-filter inbound acl name Only-PC4-5
以上是关于华为 配置ACL的主要内容,如果未能解决你的问题,请参考以下文章