【网络工程师】ACL基础实验
目录
1 需求
2 实验思路
3 实验步骤
3.1 配IP地址
3.2 配置静态路由
3.3 配置相关的ACL以及traffic-filter
3.4 测试
1 需求
某某公司为了保证数据的安全,禁止研发部门访问财务部服务器,但是总裁办公室不受限制,并且互联网无法访问财务服务器。
PS:实验是跟随Summer老师的视频学习记录
拓扑图如下:
2 实验思路
1、首先先理清楚每一个设备之间的连线
2、再为其终端设备、服务器、网关配置好相应的IP地址
3、做好需求中的ACL规则与traffic-filter流量过滤的搭配使用
3 实验步骤
3.1 配IP地址
R1:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
abitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 1.1.1.254 24
[R1]int g4/0/0
[R1-GigabitEthernet4/0/0]ip add 192.168.3.254 24
[R1-GigabitEthernet4/0/0]quit
R2:
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 1.1.1.1 243.2 配置静态路由
目的是使出去到互联网的流量可以往回传
R2:
[R2]ip route-static 0.0.0.0 0 1.1.1.2543.3 配置相关的ACL以及traffic-filter
R1:
[R1]acl 3000
# 在路由器R1上创建编号为3000的高级ACL(华为设备中3000-3999为高级ACL,支持基于源IP、目的IP、协议等多条件过滤)[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.100 0
# 规则序号10(优先级最高,先执行):
# - deny ip:拒绝所有IP协议的流量
# - source 192.168.1.0 0.0.0.255:匹配源IP为192.168.1.0/24网段(0.0.0.255为通配符,表示该网段所有IP)
# - destination 192.168.3.100 0:匹配目的IP为192.168.3.100(0表示精确匹配该IP)
# 整体效果:禁止192.168.1.0/24网段访问192.168.3.100[R1-acl-adv-3000]rule 20 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.100 0
# 规则序号20(优先级次之):
# - permit ip:允许所有IP协议的流量
# - source 192.168.2.0 0.0.0.255:匹配源IP为192.168.2.0/24网段
# - destination 192.168.3.100 0:匹配目的IP为192.168.3.100
# 整体效果:允许192.168.2.0/24网段访问192.168.3.100[R1-acl-adv-3000]rule 30 deny ip source any destination 192.168.3.100 0
# 规则序号30(优先级最低):
# - deny ip:拒绝所有IP协议的流量
# - source any:匹配任意源IP(除已匹配规则10、20的流量外)
# - destination 192.168.3.100 0:匹配目的IP为192.168.3.100
# 整体效果:禁止除192.168.2.0/24网段外的所有其他IP访问192.168.3.100[R1]int g4/0/0[R1-GigabitEthernet4/0/0]traffic-filter outbound acl 3000
# - [R1-GigabitEthernet4/0/0]:表示当前处于路由器 R1 的 GigabitEthernet4/0/0 接口配置视图
# - traffic-filter:华为设备中用于绑定 ACL 和接口的命令(实现流量过滤功能)
# - outbound:指定过滤方向为 “出方向”,即对从该接口 “离开路由器” 的流量生效
# - acl 3000:指定应用的 ACL 编号为 3000(即之前配置的高级 ACL 规则)
# 或者也是可以在流量的三个入接口上配置ACL以及traffic-filterACL分类:
(1)基本 ACL(编号 2000-2999)
核心特点:仅基于「源 IP 地址」过滤,不关注目的 IP、协议或端口;
适用场景:简单控制 “某段 IP 能否访问整个网络”,例如拒绝 192.168.1.0/24 网段所有流量;
规则示例:rule 10 deny source 192.168.1.0 0.0.0.255(拒绝源网段 192.168.1.0/24)。
(2)高级 ACL(编号 3000-3999)
核心特点:支持多维度过滤,可同时匹配「源 IP、目的 IP、协议(TCP/UDP/ICMP)、端口号」;
适用场景:精准控制 “特定 IP 通过特定协议 / 端口访问目标”,例如仅允许 192.168.2.0/24 通过 TCP 80 端口访问 10.0.0.1;
规则示例:rule 20 permit tcp source 192.168.2.0 0.0.0.255 destination 10.0.0.1 0 destination-port eq 80(允许源网段 TCP 访问目标 IP 的 80 端口)。
(3) 二层 ACL(编号 4000-4999)
核心特点:基于「源 MAC 地址、目的 MAC 地址、以太网类型(如 IP/ARP)」过滤,工作在数据链路层;
适用场景:控制 “特定设备(通过 MAC 识别)的二层流量”,例如禁止某台设备(MAC 为 00-11-22-33-44-55)的所有流量;
规则示例:rule 10 deny source-mac 0011-2233-4455 ffff-ffff-ffff(拒绝源 MAC 为指定值的流量)。
3.4 测试
(1)首先测试PC1、PC2、server与互联网连通性
测试情况:研发部、总裁办均可访问互联网,财务部不可以
测试成功!!!
(2)测试其他部门访问财务部的情况
测试情况:研发部不可以访问财务部,总裁办可以访问财务部
测试成功!!!
至此本实验圆满完成!!!