网站赚钱苏州手工活外发加工网

目录

1 需求

2 实验思路

3 实验步骤

3.1 配IP地址

3.2 配置静态路由

3.3 配置相关的ACL以及traffic-filter

3.4 测试

1 需求

某某公司为了保证数据的安全，禁止研发部门访问财务部服务器，但是总裁办公室不受限制，并且互联网无法访问财务服务器。

PS：实验是跟随Summer老师的视频学习记录

拓扑图如下：

2 实验思路

1、首先先理清楚每一个设备之间的连线

2、再为其终端设备、服务器、网关配置好相应的IP地址

3、做好需求中的ACL规则与traffic-filter流量过滤的搭配使用

3 实验步骤

3.1 配IP地址

R1：

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
abitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 1.1.1.254 24
[R1]int g4/0/0
[R1-GigabitEthernet4/0/0]ip add 192.168.3.254 24
[R1-GigabitEthernet4/0/0]quit

R2：

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 1.1.1.1 24

3.2 配置静态路由

目的是使出去到互联网的流量可以往回传

R2：

[R2]ip route-static 0.0.0.0 0 1.1.1.254

3.3 配置相关的ACL以及traffic-filter

R1：

[R1]acl 3000  
# 在路由器R1上创建编号为3000的高级ACL（华为设备中3000-3999为高级ACL，支持基于源IP、目的IP、协议等多条件过滤）[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.100 0  
# 规则序号10（优先级最高，先执行）：
# - deny ip：拒绝所有IP协议的流量
# - source 192.168.1.0 0.0.0.255：匹配源IP为192.168.1.0/24网段（0.0.0.255为通配符，表示该网段所有IP）
# - destination 192.168.3.100 0：匹配目的IP为192.168.3.100（0表示精确匹配该IP）
# 整体效果：禁止192.168.1.0/24网段访问192.168.3.100[R1-acl-adv-3000]rule 20 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.100 0  
# 规则序号20（优先级次之）：
# - permit ip：允许所有IP协议的流量
# - source 192.168.2.0 0.0.0.255：匹配源IP为192.168.2.0/24网段
# - destination 192.168.3.100 0：匹配目的IP为192.168.3.100
# 整体效果：允许192.168.2.0/24网段访问192.168.3.100[R1-acl-adv-3000]rule 30 deny ip source any destination 192.168.3.100 0  
# 规则序号30（优先级最低）：
# - deny ip：拒绝所有IP协议的流量
# - source any：匹配任意源IP（除已匹配规则10、20的流量外）
# - destination 192.168.3.100 0：匹配目的IP为192.168.3.100
# 整体效果：禁止除192.168.2.0/24网段外的所有其他IP访问192.168.3.100[R1]int g4/0/0[R1-GigabitEthernet4/0/0]traffic-filter outbound acl 3000
# - [R1-GigabitEthernet4/0/0]：表示当前处于路由器 R1 的 GigabitEthernet4/0/0 接口配置视图
# - traffic-filter：华为设备中用于绑定 ACL 和接口的命令（实现流量过滤功能）
# - outbound：指定过滤方向为 “出方向”，即对从该接口 “离开路由器” 的流量生效
# - acl 3000：指定应用的 ACL 编号为 3000（即之前配置的高级 ACL 规则）
# 或者也是可以在流量的三个入接口上配置ACL以及traffic-filter

ACL分类：

（1）基本 ACL（编号 2000-2999）

核心特点：仅基于「源 IP 地址」过滤，不关注目的 IP、协议或端口；

适用场景：简单控制 “某段 IP 能否访问整个网络”，例如拒绝 192.168.1.0/24 网段所有流量；

规则示例：rule 10 deny source 192.168.1.0 0.0.0.255（拒绝源网段 192.168.1.0/24）。

（2）高级 ACL（编号 3000-3999）

核心特点：支持多维度过滤，可同时匹配「源 IP、目的 IP、协议（TCP/UDP/ICMP）、端口号」；

适用场景：精准控制 “特定 IP 通过特定协议 / 端口访问目标”，例如仅允许 192.168.2.0/24 通过 TCP 80 端口访问 10.0.0.1；

规则示例：rule 20 permit tcp source 192.168.2.0 0.0.0.255 destination 10.0.0.1 0 destination-port eq 80（允许源网段 TCP 访问目标 IP 的 80 端口）。

（3） 二层 ACL（编号 4000-4999）

核心特点：基于「源 MAC 地址、目的 MAC 地址、以太网类型（如 IP/ARP）」过滤，工作在数据链路层；

适用场景：控制 “特定设备（通过 MAC 识别）的二层流量”，例如禁止某台设备（MAC 为 00-11-22-33-44-55）的所有流量；

规则示例：rule 10 deny source-mac 0011-2233-4455 ffff-ffff-ffff（拒绝源 MAC 为指定值的流量）。

3.4 测试

（1）首先测试PC1、PC2、server与互联网连通性

测试情况：研发部、总裁办均可访问互联网，财务部不可以

测试成功！！！

（2）测试其他部门访问财务部的情况

测试情况：研发部不可以访问财务部，总裁办可以访问财务部

测试成功！！！

至此本实验圆满完成！！！