华为设备配置ACL，使内网用户无法访问外网

小乔

组网需求对内网地址192.168.1.12/24访问外网做限制，使其无法访问所有WEB界面。
图1 配置通过基于ACL规则的包过滤，使内网用户无法访问所有外网的组网图


操作步骤
1 Router上的配置                                                                          
dhcp enable //使能DHCP功能   
#                                                                              
acl number 2000 //配置ACL规则，允许源地址192.168.1.0/24网段的用户         
rule 5 permit source 192.168.1.0 0.0.0.255                                    
#                                                                              
acl number 3005 //定义用于报文过滤的访问控制的ACL   
description deny_souce_ip_www                                                  
rule 5 deny tcp source 192.168.1.12 0 destination-port eq www                  
rule 10 permit tcp source 192.168.1.12 0                                       
#                                                                              
ip pool pool1 //创建全局地址池                                                               
gateway-list 192.168.1.2 //配置DHCP客户端的出口网关地址      
network 192.168.1.0 mask 255.255.255.0 //配置全局地址池可动态分配的IP地址范围         
dns-list 202.106.0.20 202.106.46.151 //配置DHCP客户端使用的DNS服务器的IP地址   
#                  
interface Serial2/0/0                                                           
link-protocol ppp                                                              
ip address 219.143.125.234 255.255.255.252                                    
nat outbound 2000 //允许192.168.1.0/24网段的主机进行地址转换   
#                                                                                
interface GigabitEthernet0/0/1                                                  
ip address 192.168.1.2 255.255.255.0                                          
traffic-filter inbound acl 3005 //在接口上应用ACL，进行报文过滤
dhcp select global //配置接口工作在全局地址池模式      
#                                                                              
ip route-static 0.0.0.0 0.0.0.0 Serial2/0/0 //配置缺省路由     
#
2 验证配置结果
# 在Router上执行display traffic-filter statistics命令，查看流量统计信息。

一洛

感谢分享