华为ENSP——ACL访问控制列表

文章目录

一、实验步骤
- 1.1 实验拓扑图
- 1.2 需求及分析：
- 1.3 实验详细步骤及配置：

一、实验步骤

1.1 实验拓扑图

1.2 需求及分析：

需求

1、实现全网互通

2、设置标准访问控制列表，使VLAN10与VLAN20不能通信

3、配置扩展访问控制列表，使AR1不能访问ftp服务器，但其他流量不受影响

实验分析：

1、实现全网互通：

要实现全网互通就应该对SW1、AR1、AR3进行正确配置，第一步要在SW1中创建VLAN10与20，并分别将E0/0/1至0/0/4接口设置为access口，g0/0/1设置为trunk口；第二步要在AR1上配置单臂路由（子接口）与向上的一条默认路由；第三步在AR3上配置分别配置到192.168.10.0网段与192.168.20.0网段的静态路由即可实验全网互通

2、设置标准访问控制列表，使VLAN10与VLAN20不能通信：

在AR1上配置ACL列表，指定列表号并禁止源IP网段，并放通其他所有IP，最后在20段的出接口g0/0/0.20上调用ACL列表即可

3、配置扩展访问控制列表，使AR1不能访问ftp服务器，但其他流量不受影响：

在AR2上（靠近源的位置）配置ACL列表，禁止12.1.1.1访问FTP服务器202.10.100.100的20、21端口（也就是设置了禁止访问ftp服务端口），放通其他IP流量，最后在g0/0/0调用ACL列表即可

1.3 实验详细步骤及配置：

1、配置4台PC机及FTP服务器地址并启用FTP服务器

2、在SW1上进行如下配置：

<Huawei>sy
[Huawei]sy SW1
[SW1]vlan batch 10 20
[SW1]interface Ethernet 0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]interface e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]interface e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 10
[SW1-Ethernet0/0/3]interface e0/0/4
[SW1-Ethernet0/0/4]port link-type access
[SW1-Ethernet0/0/4]port default vlan 20
[SW1-Ethernet0/0/4]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all

3、在AR1上进行如下配置：

<Huawei>sy
[Huawei]sy R1
[R1]v b 10 20
[R1]int GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[R1-GigabitEthernet0/0/1]interface GigabitEthernet0/0/0.10
[R1-GigabitEthernet0/0/0.10]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.10]ip address 192.168.10.1 24
[R1-GigabitEthernet0/0/0.10]arp broadcast enable
[R1-GigabitEthernet0/0/0.10]interface GigabitEthernet 0/0/0.20
[R1-GigabitEthernet0/0/0.20]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.20]ip address 192.168.20.1 24
[R1-GigabitEthernet0/0/0.20]arp broadcast enable
[R1-GigabitEthernet0/0/0.20]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

4、在AR3上进行如下配置：

<Huawei>sy
[Huawei]sy R3
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[R3-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 202.10.100.1 24
[R3-GigabitEthernet0/0/1]quit
[R3]ip route-static 192.168.10.0 24 12.1.1.1
[R3]ip route-static 192.168.20.0 24 12.1.1.1

到这一步位为止可以实现全网互通，现在进行测试：

5、下面在AR1上进行标准ACL配置

[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule permit source any
[R1-GigabitEthernet0/0/0.20]traffic-filter outbound acl 2000## 查看一下是否配置成功：
[R1]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5rule 5 deny source 192.168.10.0 0.0.0.255 rule 10 permit

进行测试，看PC1是否还能Ping通PC2

在进行扩展ACL配置前，先在AR1上尝试连接FTP服务器

6、最后在AR3上进行扩展ACL列表配置

[R3-acl-adv-3000]rule deny tcp source 12.1.1.1 0 destination 202.10.100.100 0 destination-port eq 21
[R3-acl-adv-3000]rule deny tcp source 12.1.1.1 0 destination 202.10.100.100 0 destination-port eq 20
[R3-acl-adv-3000]rule permit ip source any destination any
[R3-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

再次用AR1访问FTP服务器

已经不能访问了，但是可以ping通