【华为HCNA】访问控制列表ACL实例配置

ACL的概念
访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络***等等。

应用场景

在小型企业的网络中，现要求只有经理的PC（源地址是192.168.2.1）才能访问互联

实验目的
允许主机B（经理的PC）访问互联网，禁止主机A访问互联网

网络拓扑图如下：

操作步骤

一、配置端口类型以及ip地址
[SW1]vlan batch 10 20 30 //创建VLAN

[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access //设置端口类型
[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 20

[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24

[SW1]interface Vlanif 20
[SW1-Vlanif10]ip address 192.168.2.254 24

[SW1]interface Vlanif 30
[SW1-Vlanif30]ip address 192.168.16.1 24
##################################################
[AR6]interface GigabitEthernet 0/0/0
[AR6-GigabitEthernet0/0/1]ip address 192.168.16.6 24

[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]ip address 200.1.1.1 24
##################################################
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]ip address 200.1.1.2 24

PC6和PC7配置ip和网关

二、配置静态路由，实现全网互通
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.16.6

[AR6]ip route-static 0.0.0.0 0.0.0.0 192.168.16.1

[R3]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
在PC6和PC7上测试是否能访问R3

现象：PC6和PC7都能访问R3

三、实现主机B（经理的PC）访问互联网,本案例中R3代替互联网。在AR6上做ACL

[AR6]acl 2000
[AR6-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
[AR6]interface GigabitEthernet 0/0/1
[AR6-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

查询ACL与接口的绑定情况

在主机A上ping互联网ip，发现不通，即ACL禁止了主机A的流量访问互联网，同时允许主机B（经理的PC）可以访问互联网

测试：主机A和主机B访问互联网的情况，如下图。

现象： 实现了最终的效果。
更多资讯，请关注×××公众号“广州华尔思网络实验室”动态信息。

资源来源：广州华尔思网络实验室 【官网：www.gzwallslab.net】
学习群： 广州华尔思学习群 543623993 【可以在QQ群里下载到PDF版文件】
广州华尔思学习群 2群 518216801【可以在QQ群里下载到PDF版文件】