ACL简单配置

实验名称: 华为模拟器ACL 简单配置。

首先准备环境：五台 PC 机、两台三层交换机、两台路由器。

为PC 机配置IP地址：

PC1：192.168.10.1 子网掩码：255.255.255.0

PC3：192.168.10.2 子网掩码：255.255.255.0

PC5：192.168.20.5 子网掩码：255.255.255.0

PC2：192.168.20.1 子网掩码：255.255.255.0

PC4：192.168.20.2 子网掩码：255.255.255.0

路由器配置IP地址：

R1：Gig0/0/0口配置PC1、PC3网关地址：

网关地址：192.168.10.254 子网掩码255.255.255.0

R1：Gig0/0/1口配置路由器IP地址：

Ip地址：192.168.12.1 子网掩码 255.255.255.0

R2：Gig0/0/0口配置PC2、PC5、PC4网关地址：

网关地址：192.168.20.254 子网掩码255.255.255.0

R2：Gig0/0/1口配置路由器IP地址：

Ip地址：192.168.12.2 子网掩码 255.255.255.0

拓扑搭构图如下图所示：

首先保证拓扑图全网互通，在开始配置 ACL 。

1、 配置R1上Gig0/0/0口PC机网关：

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.10.254 255.255.255.0

[R1-GigabitEthernet0/0/0]undo shutdown

配置R1上Gig0/0/1口PC机IP地址：

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 192.168.12.1 255.255.255.0

[R1-GigabitEthernet0/0/1]undo shutdown

2、 配置R2上Gig0/0/0口PC机网关：

[R2]interface GigabitEthernet 0/0/0

[R2-GigabitEthernet0/0/0]undo shutdown

[R2-GigabitEthernet0/0/0]ip address 192.168.20.254 255.255.255.0

配置R1上Gig0/0/1口PC机IP地址：

[R2]interface GigabitEthernet 0/0/1

[R2-GigabitEthernet0/0/1]undo shutdown

[R2-GigabitEthernet0/0/1]ip address 192.168.12.2 255.255.255.0

3、 配置在两台路由器上分别配置“下一跳”命令：

R1：

[R1]ip route-static 192.168.20.0 255.255.255.0 192.168.12.2

R2：
         [R2]ip route-static 192.168.10.0 255.255.255.0 192.168.12.1
           

4、 测试全网互通，验证结果如下图所示：

5、 在R2上做ACL 配置，保证PC2-PC1不通，且其他全网互通：

（1）、创建 ACL

[R2]acl 3000

[R2-acl-advance-3000]rule 5 deny ip source 192.168.20.1 0.0.0.0 destination 192.168.10.1 0.0.0.0

（2）、调用 ACL

[R2]interface Gig0/0/0

[R2-Gig0/0/0]traffic-filter inbound acl 3000

（3）、验证、测试、保存

[R2]display acl 3000

[R2]display traffic-filter applied-record

得到结果，PC1到PC2 是不通的，其他全网互通；
           

试验成功；

6、 在R2上做 ACL配置，PC4/5与全网其他主机互通，其他流量全部不通；

1、创建 ACL

[R2]acl name Only-PC4-5 advance

[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.4 0.0.0.0

[R2-acl-advance-Only-PC4-5]rule permit ip source 192.168.20.5 0.0.0.0

[R2-acl-advance-Only-PC4-5]rule 100 deny ip

2、调用ACL

[R2]interface Gig0/0/0

[R1-Gig0/0/0]traffic-filter inbound acl name Only-PC4-5

3、验证、测试、保存

[R2]display acl name Only-PC4-5

[R2]display traffic-filter applied-record

得到结果，PC4和PC5与全网其他主机互通，其他流量全部不通；

实验成功；

转载于:https://blog.51cto.com/13557929/2061261