本文共 2728 字，大约阅读时间需要 9 分钟。

华为网络设备-访问控制列表配置实验

作者： 赖裕鑫    排版： 赖裕鑫    审核： 蔡宗唐

实验介绍

访问控制列表ACL是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

实验目的

• 掌握ACL的配置方法
• 掌握ACL在接口下的应用方式
• 掌握流量过滤的基本方式

实验拓扑

实验思路

• 配置设备IP地址

• 配置OSPF，使得网络路由可达

• 配置ACL，匹配特定流量。

• 配置流量过滤。

操作步骤

1.配置IP地址（端口和loopback口地址）

[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip add 192.168.10.1 24[R1-GigabitEthernet0/0/0]int lo 0[R1-LoopBack0]ip add 1.1.1.1 24[R2]int g0/0/0[R2-GigabitEthernet0/0/0]ip add 192.168.10.2 24[R2-GigabitEthernet0/0/0]int g0/0/1[R2-GigabitEthernet0/0/1]ip add 192.168.20.1 24[R2-GigabitEthernet0/0/1]int lo 0[R2-LoopBack0]ip add 2.2.2.2 24[R3]int g0/0/0[R3-GigabitEthernet0/0/0]ip add 192.168.20.2 24[R3-GigabitEthernet0/0/0]int lo 0[R3-LoopBack0]ip add 3.3.3.3 24

2.配置OSPF（使网络联通）

[R1]ospf[R1-ospf-1]area 0[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0	[R1-ospf-1-area-0.0.0.0]network 192.168.10.1 0.0.0.0[R2]ospf[R2-ospf-1]area 0[R2-ospf-1-area-0.0.0.0]network 192.168.10.2 0.0.0.0[R2-ospf-1-area-0.0.0.0]network 192.168.20.1 0.0.0.0[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0[R3]ospf[R3-ospf-1]area 0[R3-ospf-1-area-0.0.0.0]network 192.168.20.2 0.0.0.0[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

3.设置telnet登陆访问

[R3]telnet server enable                            //开启telnet功能[R3]user-interface vty 0 4                          //设置进入vty登陆线程数量为5[R3-ui-vty0-4]set authentication password cipher huawei	  //配置认证密码模式为cipher，且密码为 huawei[R3-ui-vty0-4]user privilege level 3                //设置用户特权等级为3

4.配置访问控制（流量过滤）

[R3]acl 3000                                   //创建ACL控制列表，编号为3000 [R3-acl-adv-3000]rule 5 permit tcp source 1.1.1.1 0.0.0.0 destination 192.168.20.2 0.0.0.0 destination-port eq 23	                                               	   //允许该流量通过[R3-acl-adv-3000]rule 10 deny tcp source any   //拒绝源端的所有流量通过[R3-acl-adv-3000]q[R3-ui-vty0-4]acl 3000 inbound                 //设置ACL在线程内入境

实验验证

• 查看acl配置：

[R3]display acl 3000                               Advanced ACL 3000, 2 rules              //高级访问控制列表编号3000，2条规则Acl's step is 5                         //ACL步长为5rule 5 permit tcp source 1.1.1.1 0 destination 192.168.20.2 0 destination-port                                         //允许该流量通过eq telnet (1 matches)                   //用于telnet或tcp端口为23（1个匹配值）rule 10 deny tcp (3 matches)            //拒绝该流量通过

• telnet登陆验证:

  （由于与ACL3000的配置所匹配，所以R1得以通过telnet登陆到目的端R3，并能够远程更改R3的用户名）
  

• 当R1用其他源IP登陆时，由于未与ACL配置所匹配，所以登陆错误:

  

任务总结

• 一个ACL只能基于一种协议，因此每种协议都需要配置单独的ACL

• 经过路由器接口的数据有进（ln）和出（Out）两个方向，因此在接口上配置访问控制列表也有进（In）和出（Out）两个方向

• 每个接口可以配置进方向的ACL，也可以配置出方向的ACL，或者两者都配置，但是一个ACL只能控制一个方向

• 一个ACL只能控制一个接口上的数据流量，无法同时控制多个接口上的数据流量

• 在路由器上应用ACL时，可以为每种协议、每个方向和每个接口配置一个ACL，一般称为"3P原则"。除了可以用上文的方式，即以telnet方式配置ACL外，还可以在物理接口上配置ACL

转载地址：https://jan16.blog.csdn.net/article/details/113481635 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！