配置高级ACL详解高级ACL的ID范围是多少?3000-3999高级ACL匹配的地址信息有哪些?源IP地址、目标的IP地址、源端口、目标端口、协议号高级ACL的配置思路是什么?ACL配置思路:1.确认
.
配置高级ACL详解
高级ACL的ID范围是多少?
3000-3999
高级ACL匹配的地址信息有哪些?
源IP地址、目标的IP地址、源端口、目标端口、协议号
高级ACL的配置思路是什么?
ACL配置思路:
1.确认设备
2.确认接口
3.确认方向
4.配置ACL
5.调用ACL
6.验证与测试
高级ACL的调用原则是什么?
调用在距离源ip地址比较近的接口设备上
[R1-GigabitEthernet0/0/0]ip add 192.168.12.1 24 配置IP地址
[R1-GigabitEthernet0/0/0]q
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
配置默认路由,ping通网络
rule 5 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80
规则5允许 tcp 源 目标 目标接口
rule 10 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255 //规则10允许源地址1.1目标地址2.0网段
rule 15 deny ip source 192.168.1.1 0.0.0.0 destination any //规则15禁止源地址1.1 目标地址 所有
traffic-filter inbound acl 3000 //流量筛选器 入量 acl 3000
按照标号顺序依次筛选,没有找到匹配的默认允许。
将Client1的ip地址改成1.2那我们的设置就全部作废。
高级ACL配置案例
需求描述
允许Client1访问Server1的web服务
允许Client1访问192.168.2.0/24
禁止Client1访问其他网络
测试
Client1可以访问web
Client1可以ping通网络192.168.12.1/24
Client1不能ping通网络192.168.3.1/24
配置思路:
1.终端设备配置
-客户端(ip)
-服务器(ip+web)
2.网络设备配置-路由器
-接口ip
3.配置ip地址和路由,确保网络互通
-静态路由和默认路由
-r1,r3设置默认路由 r2设置静态路由
4.配置ACL
5.调用ACL
6.验证与测试
2 案例2:配置高级ACL
2.1 问题
如图配置IP地址
允许Client1访问Server1的Web服务
允许Client1 访问网络 192.168.2.0/24
禁止Client1 访问其他网络
2.2 方案
搭建实验环境,如图-2所示。
图-2
2.3 步骤
实现此案例需要按照如下步骤进行。
1)配置终端设备 - Client1
地址:192.168.1.1 掩码:255.255.255.0 网关:192.168.1.2542)配置终端设备 - PC1
地址:192.168.2.1 掩码:255.255.255.0 网关:192.168.2.2543)配置终端设备 - Server1
地址:192.168.3.1 掩码:255.255.255.0 网关:192.168.3.254 配置 HTTP 服务4)配置网络设备 - R1
<Huawei>system-view // 进入系统模式
[Huawei]sysname R1 // 更改设备名称
[R1]interface gi0/0/2 // 连接 Client1
[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2] quit
[R1]interface gi0/0/0 // 连接 R2的接口
[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0] quit
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 // 去往其他网段的默认路由
5)配置网络设备 - R2
<Huawei>system-view // 进入系统模式
[Huawei]sysname R2 // 更改设备名称
[R2]interface gi0/0/2 // 连接 PC1
[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2] quit
[R2]interface gi0/0/1 // 连接 R1 的接口
[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1] quit
[R2]interface gi0/0/0 // 连接 R3 的接口
[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0] quit
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 // 去往Client1的网段
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 // 去往Server1的网段
6)配置网络设备 - R3
<Huawei>system-view // 进入系统模式
[Huawei]sysname R3 // 更改设备名称
[R3]interface gi0/0/2 // 连接 Server1
[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2] quit
[R3]interface gi0/0/1 // 连接 R2 的接口
[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1] quit
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 // 去往其他网段的默认路由
7)配置控制策略并调用
[R1]acl 3000 // 创建高级ACL
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.3.1
0 destination-port eq 80 // 允许 Client 到 Server 的 web 流量
[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.2.0
0.0.0.255 // 允许 Client 到 PC1 网段的所有流量
[R1-acl-adv-3000]rule 15 deny ip source 192.168.1.1 0 destination any
//拒绝所有其他流量
[R1-acl-adv-3000]quit
[R1]interface gi0/0/2 // Client 的网关接口
[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 // 接口的入向调用ACL
8)测试
Client1可以通过 HTTP 客户端访问Server1的网页(web服务)
Client1可以ping通网络192.168.2.0/24 中的 PC1
Client1不能ping通网络192.168.3.0/24,以及其他网段,比如192.168.12.0 中的接口地址
