華爲ACL配置（基本ACL+高級ACL+綜合應用）

一、基本ACL

1.PC1不能ping通Server1
2.PC2可以ping通Server1
3.PC1可以ping通 PC2

R1配置

[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R1]acl 2000
[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.0 //抓取這個IP流量並拒絕它
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //相對於PC1來說在出接口上調用

驗證配置效果
1.PC1不能ping通Server1
2.PC2可以ping通Server1
3.PC1可以ping通 PC2

二、高級ACL

1.允許Client1訪問Server1的Web服務
2.允許Client1訪問網絡192.168.3.0/24
3.禁止Client1訪問其它網絡

R1配置
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[R1]ip route-static 0.0.0.0 0 12.1.1.2
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 80
[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.3.0 0.0.0.255
[R1-acl-adv-3000]rule 15 deny ip source 192.168.1.1 0 destination any
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

R2配置
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 23.1.1.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[R2]ip route-static 192.168.1.0 24 12.1.1.1
[R2]ip route-static 192.168.2.0 24 23.1.1.3

R3配置
[R3]interface g0/0/0
[R3-GigabitEthernet0/0/0]ip address 23.1.1.3 24
[R3-GigabitEthernet0/0/0]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[R3]ip route-static 0.0.0.0 0 23.1.1.2

驗證配置效果
1.Client1可以訪問Server1的Web服務；

2.Client1可以ping通網絡192.168.3.0/24

3.Client1不能ping通網絡192.168.2.0/24，以及其他網段

Client1通Server1

Client1通R3

三、華爲ACL綜合應用
1.R1只允許WG登錄，WG能ping通Server1和Client1
2.YF和CW之間不能互通，但都可以和WG互通
3.YF可以訪問Client1
4.CW不能訪問Client1
5.YF和CW只能訪問Server1的WWW服務
6.只有WG才能訪問Server1的所有服務

WG配置
[WG]interface g0/0/0
[WG-GigabitEthernet0/0/0]ip address 10.1.1.1 24

R2配置
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 11.1.1.254 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 12.1.1.2 24

R1配置
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 8.8.8.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 13.1.1.1 24
[R1-GigabitEthernet0/0/2]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24

R3配置
[R3]interface g0/0/0
[R3-GigabitEthernet0/0/0]ip address 13.1.1.3 24
[R3-GigabitEthernet0/0/0]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 14.1.1.254 24
[R3-GigabitEthernet0/0/1]int g0/0/2
[R3-GigabitEthernet0/0/2]ip address 15.1.1.254 24

WG配置（OSPF）
[WG]ospf 1 router-id 10.1.1.1
[WG-ospf-1]area 0
[WG-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

R2配置（OSPF）
[R2]ospf 1 router-id 12.1.1.1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 11.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

R1配置（OSPF）
[R1]ospf 1 router-id 13.1.1.1
[R1-ospf-1]ar
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net
[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 8.8.8.0 0.0.0.255

R3配置（OSPF）
[R3]ospf 1 router-id 14.1.1.1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 15.1.1.0 0.0.0.255

R1配置（ACL）
[R1]acl 2000 // 創建基本ACL 2000
[R1-acl-basic-2000]rule 5 permit source 10.1.1.1 0 // 僅僅允許 192.168.10.1 的流量
[R1]user-interface vty 0 4 // 進入 VTY，配置 telnet 參數
[R1-ui-vty0-4]acl 2000 inbound // 在 VTY 入向，應用 ACL 2000
[R1-ui-vty0-4]authentication-mode aaa // 進入 VTY ，開啓 AAA 認證模式
[R1-ui-vty0-4]aaa // 進入 AAA 模式
[R1-aaa]local-user HCIE password cipher HUAWEI // 創建用戶 HCIE 和 密碼 HUAWEI
[R1-aaa]local-user HCIE service-type telnet // 爲用戶 HCIE 指定 telnet 服務

R2配置（ACL）
[R2]acl 3000
[R2-acl-adv-3000]rule 10 permit ip source 11.1.1.1 0 destination 10.1.1.1 0 //允許11.1.1.1和10.1.1.1之間的所有流量
[R2-acl-adv-3000]rule 20 permit ip source 11.1.1.1 0 destination 8.8.8.8 0 //允許11.1.1.1和8.8.8.8之間所有的流量
[R2-acl-adv-3000]rule 30 permit tcp source 11.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允許 11.1.1.1 僅能訪問 15.1.1.1的 web 服務
[R2-acl-adv-3000]rule 40 deny ip source 11.1.1.1 0 destination any //拒絕所有類型的流量
[R2]interface g0/0/1 // 進入YF的網關接口
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 // 在接口的入方向調用 ACL 3000

R3配置（ACL）
[R3]acl 3000
[R3-acl-adv-3000]rule 10 permit ip source 14.1.1.1 0 destination 10.1.1.1 0 //允許14.1.1.1和10.1.1.1之間的所有流量
[R3-acl-adv-3000]rule 20 permit tcp source 14.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允許 14.1.1.1 僅能訪問 15.1.1.1之間的 web 流量
[R3-acl-adv-3000]rule 30 deny ip source 14.1.1.1 0 destination any // 拒絕所有其他類型的流量
[R3]interface g0/0/1 // 進入 CW 的網關接口
[R3-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 // 在接口的入方向調用 ACL 3000

驗證配置效果
WG能登錄R1

WG能ping通Server1和Client1

YF和CW之間不能互通，但可以和WG互通


YF不能ping通Server1

YF能訪問Server1的WWW服務

CW不能ping通Server1和Client1


CW能訪問Server1的WWW服務