配置高级ACL详解（配置标准acl）

配置高级ACL详解（配置标准acl）

配置高级ACL详解

高级ACL的ID范围是多少？3000-3999高级ACL匹配的地址信息有哪些？源IP地址、目标的IP地址、源端口、目标端口、协议号高级ACL的配置思路是什么？ACL配置思路：1.确认设备2.确认接口3.确认方向4.配置ACL5.调用ACL6.验证与测试高级ACL的调用原则是什么？调用在距离源ip地址比较近的接口设备上

[R1-GigabitEthernet0/0/0]ip add 192.168.12.1 24 配置IP地址[R1-GigabitEthernet0/0/0]q[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2配置默认路由，ping通网络rule 5 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80规则5允许 tcp 源 目标 目标接口 rule 10 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255 //规则10允许源地址1.1目标地址2.0网段

rule 15 deny ip source 192.168.1.1 0.0.0.0 destination any //规则15禁止源地址1.1 目标地址 所有

traffic-filter inbound acl 3000 //流量筛选器 入量 acl 3000

按照标号顺序依次筛选，没有找到匹配的默认允许。将Client1的ip地址改成1.2那我们的设置就全部作废。

高级ACL配置案例需求描述允许Client1访问Server1的web服务允许Client1访问192.168.2.0/24禁止Client1访问其他网络

测试Client1可以访问webClient1可以ping通网络192.168.12.1/24Client1不能ping通网络192.168.3.1/24

配置思路：1.终端设备配置-客户端（ip）-服务器（ip+web）2.网络设备配置-路由器-接口ip3.配置ip地址和路由，确保网络互通-静态路由和默认路由-r1，r3设置默认路由 r2设置静态路由4.配置ACL5.调用ACL6.验证与测试

2 案例2：配置高级ACL2.1 问题如图配置IP地址允许Client1访问Server1的Web服务允许Client1 访问网络 192.168.2.0/24禁止Client1 访问其他网络2.2 方案搭建实验环境，如图-2所示。

图-2

2.3 步骤实现此案例需要按照如下步骤进行。

1）配置终端设备 - Client1

地址：192.168.1.1 掩码：255.255.255.0 网关：192.168.1.254

2）配置终端设备 - PC1

地址：192.168.2.1 掩码：255.255.255.0 网关：192.168.2.254

3）配置终端设备 - Server1

地址：192.168.3.1 掩码：255.255.255.0 网关：192.168.3.254 配置 HTTP 服务

4）配置网络设备 - R1

system-view // 进入系统模式[Huawei]sysname R1 // 更改设备名称[R1]interface gi0/0/2 // 连接 Client1[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24[R1-GigabitEthernet0/0/2] quit [R1]interface gi0/0/0 // 连接 R2的接口[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24[R1-GigabitEthernet0/0/0] quit [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 // 去往其他网段的默认路由 5）配置网络设备 - R2

system-view // 进入系统模式[Huawei]sysname R2 // 更改设备名称[R2]interface gi0/0/2 // 连接 PC1 [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24[R2-GigabitEthernet0/0/2] quit [R2]interface gi0/0/1 // 连接 R1 的接口[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24[R2-GigabitEthernet0/0/1] quit [R2]interface gi0/0/0 // 连接 R3 的接口[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24[R2-GigabitEthernet0/0/0] quit [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 // 去往Client1的网段[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 // 去往Server1的网段6）配置网络设备 - R3

system-view // 进入系统模式[Huawei]sysname R3 // 更改设备名称[R3]interface gi0/0/2 // 连接 Server1[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24[R3-GigabitEthernet0/0/2] quit [R3]interface gi0/0/1 // 连接 R2 的接口[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24[R3-GigabitEthernet0/0/1] quit [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 // 去往其他网段的默认路由7）配置控制策略并调用

[R1]acl 3000 // 创建高级ACL[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.3.10 destination-port eq 80 // 允许 Client 到 Server 的 web 流量[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.2.00.0.0.255 // 允许 Client 到 PC1 网段的所有流量[R1-acl-adv-3000]rule 15 deny ip source 192.168.1.1 0 destination any //拒绝所有其他流量[R1-acl-adv-3000]quit[R1]interface gi0/0/2 // Client 的网关接口[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 // 接口的入向调用ACL8）测试

Client1可以通过 HTTP 客户端访问Server1的网页(web服务)Client1可以ping通网络192.168.2.0/24 中的 PC1 Client1不能ping通网络192.168.3.0/24，以及其他网段，比如192.168.12.0 中的接口地址

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。