第十七章 ACL_华为ACL实验

ICONMAN

17.2 华为ACL实验

基于vlan三层通信原则，创建好基础配置的情况下，双方是可以通信的，要求做到彼此之间不可以通信。

SW1 创建 vlan

配置SW1 的接口并加入对应的VLAN。E0/0/4接口方向对应的VLAN

SW2 创建 vlan

起VLANif接口，并配置对应的IP地址。

目前PC4是和PC1相通的，因为三层地址有VLANif，三层互通

SW2上面有路由表。

现在在SW2上面创建一个ACL。

在接口调用

这个时候PC4就PING不通PC1了 。因为ACL语句写的拒绝了。

以上是针对一个网段的抓取，做拒绝策略。

下面演示一下针对单独IP    PC4  PC2 之间彼此不可访问。

[sw2]acl number 2005                                    

创建acl2005

[sw2-acl-basic-2005] rule 5 deny source 10.10.122.12 0         仅拒绝一个IP

[sw2-acl-basic-2005]traffic classifier c1                       配置流分类

[sw2-classifier-c1] if-match acl 2005                         调用acl2005

[sw2-classifier-c1]traffic behavior b1                         配置流行为

[sw2-behavior-b1] deny                                   流行为为拒绝

[sw2-behavior-b1]traffic policy p1                           配置流策略

[sw2-trafficpolicy-p1] classifier c1 behavior b1

[sw2-trafficpolicy-p1]interface GigabitEthernet0/0/1

[sw2-GigabitEthernet0/0/1]traffic-policy p1 outbound          将流策略应用到接口

测试：

实验完成。

扩展VLAN命令配置

创建ACL，制定访问控制规则（默认是permit）

acl 3000

  rule 5 deny icmp source 192.168.110.0 0.0.0.255 destination 192.168.220.0 0.0.0.255 icmp-type echo

配置ICMP单向访问规则  注解一下ehco的意思是第一个请求包，规则拒绝的是icmp中110请求220

  rule 10 deny tcp source 192.168.110.0 0.0.0.255 destination 192.168.220.0 0.0.0.255 tcp-flag syn

配置TCP单向访问规则 ，三次握手的第一个动作，就会被deny

traffic classifier c1                         配置流分类，匹配ACL

  if-match acl 3000

  quit

traffic behavior b1                         配置流行为

  deny

  quit

traffic policy p1                             配置流策略，关联流分类和流行为

  classifier c1 behavior b1

  quit

interface gi  0/0/1                         流策略 应用到接口上

  traffic-policy p1 inbound

traffic-policy p1 global inbound      可以全局应用

vlan 110                                        也可以应用到vlan上

traffic-policy p1 inbound

——·扫描下方微信二维码，回复“实验手册”。即可领取资料或为你答疑解惑。·——