acl配置实例

4.1 标准ACL 配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源 锐捷RGNOS CookBook 13

S5750(config-std-nacl)#exit ----退出标准ACL 配置模式 步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口 S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向 注释：

1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3.

第21章 ACL配置

ACL 的全称为访问控制表(Access Control List)，简称为访问表（Access List）。ACL是一个有序的规则集，其中包含的规则称为访问控制表项（Access Control Entry：ACE）。

迈普系列交换机中的ACL以及与其相关的对象、动作组、计量器按如下图所示的逻辑关系进行组织，以实现报文过滤、报文分类、流量控制应用。

Global对象ACLACE1（permit ...）ACE2（deny ...）VLAN对象...ACEn（permit ...）deny anyPort对象Action Group 2Action1Action2...Action Group 1Action1Action2...Traffic Meter 2Traffic Meter 1Action Group 3Action1Action2... 迈普系列交换机中可应用ACL的对象有四类：全局对象（Global Object）、VLAN对象（VLAN Object）、端口对象（Interface Object）、三层接口对象（Interface VLAN Object）。全局对象是指本交换机，应用在其上的ACL作用范

ACL（访问控制列表）理论：

ACL简单的说就是一个列表

基本的ACL可以让你去哪里就去哪里不让你去哪里就不能去哪里

拓展的ACL可以让你去哪里干什么不让你去哪里干什么

ACL首先需要观察你需要控制的两个网段的数据流方向

然后分清楚源地址（起点）和目的地址（目的地）

基本的ACL格式

可以看到在后面可以打一个IP地址或者是一个网段但是要跟上通配符（0.0.0.255 表示网段0.0.0.0表示一个IP地址）（这里就是源地址也就是起点）

一个any 这表示所有的

Host就是一个主机后面跟的就是一个IP地址

打完以一段跟源头有关的接着打目的地的

基本的ACL直接在后面跟你需要的网段号或者IP地址就行了

拓展的其实原理跟基本的一样只是需要在premit或者deny后面跟一个ip后者tcp

源和目的都需要跟基本ACL里打源头的方法一样一个（IP地址或者是一个网段但是要跟上通配符）

TCP后面记得添加一个端口号(列如：eq ftp)

题目配置

SW1配置

SW1>en

SW1#conf

SW1(config)#vlan 10

SW1(config-vlan)#vlan 20

SW1(config-vlan)#vlan 30

SW1(config-vlan)#int vlan 10

SW1(con

4.1 标准ACL 配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源 锐捷RGNOS CookBook 13

S5750(config-std-nacl)#exit ----退出标准ACL 配置模式 步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向 注释：

1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。 2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3.

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

WLAN基本服务配置举例

本节通过具体配置用例指导用户如何配置 WLAN 基本服务。 拓扑结构

如下图所示，无线控制器（AC）、交换机（Switch A 和Switch B）、无线接入点（AP1 和AP2） 之间通过Trunk Port 相连；PC1 接入AP1，PC2 接入AP2。 WLAN 网络拓扑结构 配置步骤

第一步，配置 AC 相关属性以及AP 的升级版本。 ！进入AC 配置模式，配置AC 的名称， Ruijie(config)# ac-controller

Ruijie(config-ac)# ac-name WS5302 ！配置AC 的位置信息

Ruijie(config-ap)# location ruijie

！配置指定AP 的升级版本

Ruijie(config-ac)# ap-serial serial1 AP220-E AP220-SE AP620-H Ruijie(config-ac)# active-bin-file ap.bin Ruijie(config-ac)# ap-image ap.bin serial1 Ruijie(config-ac)# exit

第二步，创建WLAN

！创建WLAN 1，配置SSI

01-07 ACL配置

Page 1 of 18

本章节

01-07 ACL配置

Page 2 of 18

目 录

7 ACL配置

7.1 访问控制列表简介 7.1.1 访问控制列表概述 7.1.2 访问控制列表的分类 7.1.3 访问控制列表的匹配顺序 7.1.4 访问控制列表的步长设定 7.1.5 基本访问控制列表 7.1.6 高级访问控制列表 7.1.7 ACL对分片报文的支持 7.1.8 ACL生效时间段 7.1.9 ACL统计 7.2 配置访问控制列表

7.2.1 建立配置访问控制列表的任务 7.2.2 创建ACL生效时间段 7.2.3 配置ACL描述信息 7.2.4 配置基本访问控制列表 7.2.5 配置高级访问控制列表 7.2.6 配置ACL的步长 7.2.7 使能ACL统计 7.2.8 检查配置结果 7.3 维护访问控制列表 7.4 ACL基本配置举例

01-07 ACL配置

Page 3 of 18

插图目录

01-07 ACL配置

Page 4 of 18

插图目录

图7-1 ACL配置案例组网图

01-07 ACL配置

Page 5 of 1

［项目五］配置访问控制列表（ACL）

［项目内容］

如图5.1所示的网络拓扑，要求实现以下任务：

1． 配置EIGRP路由协议，保证网络通信正常；

2． 在R1配置ACL，要求完成以下功能：

（1） 拒绝主机A所在的网络访问Web服务器；

（2） 拒绝主机A所在的网络ping到外部网络的任何地址。

3． 配置R2，使得只允许主机C telnet到路由器R2；

图5.1 网络拓扑

［操作步骤］

一．EIGRP路由协议的配置

1．搭建网络环境

绘制如图5.1所示的网络拓扑并配置好路由器和计算机的端口及IP地址。

2．配置EIGRP路由协议

（1）配置R1

R1(config)#router eigrp 100

R1(config-router)#net 10.1.1.0 0.0.0.255

R1(config-router)#net 12.12.12.0 0.0.0.255

R1(config-router)#no auto-summary

（2）配置R2

R2(config)#router eigrp 100

R2(config-router)#net 12.12.12.0 0.0.0.255

R2(config-router)#net 23.23.23.0 0.0.0.255

R2(co

华为策略路由配置实例

1、组网需求

图1策略路由组网示例图

如上图1所示，公司用户通过Switch双归属到外部网络设备。其中，一条是低速链路，网关为10.1.20.1/24 ;另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

配置思路

1

、

创建VLAN并配置各接口，实现公司和外部网络设备互连。

配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、

3、配置流分类, 匹配规则为上述ACL规则，使设备可以对报文进行区分。

4、配置流行为, 使满足不同规则的报文分别被重定向到10.1.20.1/24和

10.1.30.1/24。

5、配置流策略, 绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上, 实现策略路

由。

3、操作步骤

3.1、创建VLAN并配置各接口

# 在Switch 上创建VLAN100 和VLAN200。

vHUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vian batch 100 200

# 配置Switch 上接口GE1/0/