一、ACL应用场景
• ACL可以通过定义规则来允许或拒绝流量的通过。
二、ACL分类
三、ACL规则
• 每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤。
四、基本ACL配置
五、配置确认
六、基本ACL配置实验
6.1、拓扑图
• 分别在路由器中拖出2台AR2220、终端中拖出2台PC机,然后选择设备连线,点击Copper进行设备接线,完成后开启设备。之后,分别将PC1/2的IP地址配置为192.168.1.2/24、192.168.2.2/24,网关分别配置为192.168.1.1、192.168.2.1。
6.2、静态路由配置
AR1:
<Huawei>system-view [Huawei]sysname AR1 [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [AR1-GigabitEthernet0/0/0]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip add 12.1.1.1 24 [AR1-GigabitEthernet0/0/1]q [AR1]ip route-static 192.168.2.0 255.255.255.0 12.1.1.2
AR2:
<Huawei>system-view [Huawei]sysname AR2 [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 [AR2-GigabitEthernet0/0/0]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip add 192.168.2.1 24 [AR2-GigabitEthernet0/0/1]q [AR2]ip route-static 192.168.1.0 255.255.255.0 12.1.1.1
• 此时,PC1 PING PC2,可以PING通:
6.3、基本ACL配置
AR1:
[AR1]acl 2000 --使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图。
[AR1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 --创建规则,拒绝192.168.1.0这个IP网段访问;0是反掩码,精确匹配,255是任意匹配;会自动生成序号5;
[AR1-acl-basic-2000]rule deny source 192.168.3.0 0.0.0.255
[AR1-acl-basic-2000]rule permit source 192.168.4.0 0.0.0.255
[AR1-acl-basic-2000]q
[AR1]display acl 2000 --查看ACL的配置信息
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 --在接口的入方向调用ACL,出方向是outbound。
[AR1-GigabitEthernet0/0/0]q
[AR1]display traffic-filter applied-record --查看基于ACL的报文过滤的应用信息
• 此时,PC1 PING PC2,不可以PING通:
