ACL访问控制列表,就是定义不同的规则,设备根据规则进行数据包“允许通过”或者“拒绝”进行分类,从而实现网络访问行为的控制、流量限制等措施。
ACL报文规则是顺序匹配,在创建基本ACL或者高级ACL是,根据项目需求,需要建立1条或者多条规则,网络设备接收到流量后,按照规则顺序匹配,如果匹配,执行定义规则的允许/拒绝流量;如果从开始到结尾都没有匹配,数据流量不做任何处理。
ACL访问控制在网络中经常使用。通过配置ACL基本与高级策略,允许或者限制某些特定流量或者协议。华为设备在调用接口时,若没有匹配条目,则默认允许放行;调用vty接口时,没有匹配条目,默认是拒绝的。
交换机路由器配置如下
sw3配置如下:
[sw3]vlan batch 10 20 30 40 100 #批量创建vlan
[sw3]interface Ethernet 0/0/1
[sw3-Ethernet0/0/1]port link-type access
[sw3-Ethernet0/0/1]port default vlan 10 #允许vlan10 通过Ethernet0/0/1
[sw3-Ethernet0/0/1]quit
[sw3-Ethernet0/0/2]port link-type access
[sw3-Ethernet0/0/2]port default vlan 20 #允许vlan20 通过Ethernet0/0/2
[sw3-Ethernet0/0/2]quit
[sw3]interface Ethernet 0/0/4
[sw3-Ethernet0/0/4]port link-type trunk
[sw3-Ethernet0/0/4]port default vlan 10 20 30 40 #允许vlan 10 20 30 40 通过Ethernet0/0/4
[sw3-Ethernet0/0/4]quit
[sw3]interface VLanif 100 #配置交换机sw3的互联ip地址
[sw3-Vlanif100]ip address 10.10.10.3 24
[sw3]ip route-static 0.0.0.0 0.0.0.0 10.10.10.254
[sw3]quit
<sw3>save
---------------------------------------------------------------------------------------------
sw2配置如下:
[sw2]vlan batch 10 20 30 40 100 #批量创建vlan
[sw2]interface Vlanif 10
[sw2-Vlanif10]ip address 192.168.10.254 24 #配置网关地址
[sw2-Vlanif10]quit
[sw2]interface Vlanif 20
[sw2-Vlanif20]ip address 192.168.20.254 24 #配置网关地址
[sw2-Vlanif20]quit
[sw2]interface Vlanif 30
[sw2-Vlanif30]ip address 192.168.30.254 24 #配置网关地址
[sw2-Vlanif30]quit
[sw2]interface Vlanif 40
[sw2-Vlanif40]ip address 192.168.40.254 24 #配置网关地址
[sw2-Vlanif40]quit
[sw2]interface Vlanif 100
[sw2-Vlanif100]ip address 10.10.10.254 24 #配置网关地址
[sw2-Vlanif100]quit
[sw2]interface Ethernet 0/0/1
[sw2-Ethernet0/0/1]port link-type trunk
[sw2-Ethernet0/0/1]port default vlan 10 20 30 40 100 #允许vlan 10 20 30 40 100 通过Ethernet0/0/1
[sw2-Ethernet0/0/1]quit
[sw2]interface Ethernet 0/0/2
[sw2-Ethernet0/0/2]port link-type trunk
[sw2-Ethernet0/0/2]port default vlan 10 20 30 40 100 #允许vlan 10 20 30 40 100 通过Ethernet0/0/2
[sw2-Ethernet0/0/2]quit
[sw2]interface Ethernet 0/0/3
[sw2-Ethernet0/0/3]port link-type access
[sw2-Ethernet0/0/3]port default vlan 40 #允许vlan40 通过Ethernet0/0/3
[sw2-Ethernet0/0/3]quit
配置明细路由
[sw2]ip route-static 100.10.10.0 255.255.255.0 192.168.40.1
[sw2]quit
<sw2>save
---------------------------------------------------------------------------------------------
sw4配置如下:
[sw4]vlan batch 10 20 30 40 100 #批量创建vlan
[sw4]interface Ethernet 0/0/1
[sw4-Ethernet0/0/1]port link-type trunk
[sw4-Ethernet0/0/1]port trunk allow-pass vlan 10 20 30 40 100
[sw4-Ethernet0/0/1]quit
[sw4]interface Ethernet 0/0/3
[sw4-Ethernet0/0/3]port link-type access
[sw4-Ethernet0/0/3]port default vlan 30 #允许vlan30 通过Ethernet0/0/1
[sw4-Ethernet0/0/3]quit
[sw4]interface VLanif 100 #配置交换机sw3的互联ip地址
[sw4-Vlanif100]ip address 10.10.10.4 24
[sw4]ip route-static 0.0.0.0 0.0.0.0 10.10.10.254
[sw4]quit
<sw4>save
---------------------------------------------------------------------------------------------
AR1配置
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.40.1 24
[AR1]interface GigabitEthernet 0/0/1标签:22,访问控制,Ethernet0,vlan,ACL,interface,sw3,sw2,port From: https://www.cnblogs.com/lvjing/p/17603448.html
[AR1-GigabitEthernet0/0/1]ip address 100.10.10.1 24
[AR1]ip route-static 0.0.0.0 0 192.168.40.254