des bound 模式 min 撤销 -c 子网 text lan
一,拓扑图展示
二, 你要知道的知识点
1. 什么是 acl?
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包.ACL 适用于所有的被路由协议,如 IP,IPX,AppleTalk 等.
2.acl 的作用
配置 ACL 后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等.
三, 实验目的
1. 让 pc1 和 pc2 属于 vlan10,pc3 属于 vlan20,pc4 属于 vlan30.
2. 给 R1 路由设置 vlan10 的网关,并在上面设置 RIP.
3. 给 R2 路由器设置 vlan20 和 vlan30 网关,R2 设置 RIP,R1 与 R2 的之间的网段为 192.168.4.0/24
4.R2 使用单臂路由配置 vlan20 和 vlan30 的网关.
5. 使用 acl 让 PC1 和 PC3 不能 ping 通
6. 使用 acl 让 PC4 只能 ping 通 PC2,其他都 ping 不通
四, 所需设备以及相关设置
1.PC 机
设备 IP 地址 IP 网关 子网掩码 所属 vlan
pc1 192.168.1.1192.168.1.254255.255.255.0 vlan10
pc2 192.168.1.2192.168.1.254255.255.255.0 vlan10
pc3 192.168.2.1192.168.2.254255.255.255.0 vlan20
pc4 192.168.3.1192.168.3.254255.255.255.0 vlan30
2. 交换机
设备 接口 所属 vlan
LSW1 e0/0/1 vlan10
LSW1 e0/0/2 vlan10
LSW1 e0/0/3 vlan10
LSW2 e0/0/2 vlan20
LSW2 e0/0/3 vlan30
LSW2 e0/0/1 trunk
3. 路由器
设备 接口 网关 RIP 宣告网段
R1 g0/0/0 192.168.1.254 192.168.1.0/24 和 192.168.4.0/24
R1 g0/0/1 192.168.4.1 192.168.1.0/24 和 192.168.4.0/24
R2 g0/0/1 .1192.168.2.254192.168.2.0/24,192.168.3.0/24 ,192.168.4.0/24
R2 g0/0/1.2192.168.3.254192.168.2.0/24,192.168.3.0/24 ,192.168.4.0/24
R2 g0/0/0192.168.4.2192.168.2.0/24,192.168.3.0/24 ,192.168.4.0/24
五, 配置思路以及代码展示
1.LSW1 配置思路:
a,创建 vlan10
b,让三个端口加入 vlan10
<Huawei>undo terminal monitor //撤销终端监控
<Huawei>system-view //进入系统模式
[Huawei]sysname SW1 //设置交换机名称为SW1
[SW1]vlan 10 //创建vlan10
[SW1-vlan10]quit //退出
[SW1]port-group group-member Ethernet 0/0/1 to Ethernet 0/0/3 //把e0/0/1-3加入一个组
[SW1-port-group]port link-type access //设置组内端口模式为接入
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/3]port link-type access
[SW1-port-group]port default vlan 10 //让组内端口加入vlan10
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-Ethernet0/0/3]port default vlan 10
[SW1-port-group]quit
查询结果图
2.LSW2 配置思路:
a,创建 vlan20 和 30
b,让端口 e0/0/2 加入 vlan20,端口 e0/0/3 加入 vlan30,端口 e0/0/1 设置为 trunk 模式.
<Huawei>undo terminal monitor //撤销终端监控
<Huawei>system-view //进入系统模式
[Huawei]sysname SW2 //设置交换机名称为SW2
[SW2]vlan batch 20 30 //创建vlan20和30
[SW2]interface Ethernet 0/0/2 //进入端口e0/0/2
[SW2-Ethernet0/0/2]port link-type access //设置端口为接入模式
[SW2-Ethernet0/0/2]port default vlan 20 //加入vlan20
[SW2-Ethernet0/0/2]quit //退出
[SW2]interface Ethernet 0/0/3 //进入端口e0/0/3
[SW2-Ethernet0/0/3]port link-type access //设置端口为接入模式
[SW2-Ethernet0/0/3]port default vlan 30 //加入vlan30
[SW2-Ethernet0/0/3]quit //退出
[SW2]interface ethernet 0/0/1 //进入端口e0/0/1
[SW2-Ethernet0/0/1]port link-type trunk //设置端口为中继模式
[SW2-Ethernet0/0/1]port trunk allow-pass vlan all //加入所有端口
[SW2-Ethernet0/0/1]quit //退出
查询结果图
3.R1 配置思路:
a,配置 vlan10 的网关:192.168.1.254/24,在接口 g0/0/0 上,
b,配置端口 g0/0/1 上网段 ip:192.168.4.1/24
c,设置并开启 rip,设置网段宣告:192.168.1.0/24 和 192.168.4.0/24
<Huawei>undo terminal monitor //撤销终端监控
<Huawei>system-view //进入系统模式
[Huawei]sysname R1 //设置路由器名称为R1
[R1]interface gigabitethernet 0/0/0 //进入端口g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown //开启端口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //设置vlan10的网关
[R1-GigabitEthernet0/0/0]quit //退出
[R1]interface gigabitethernet 0/0/1 //进入端口g0/0/1
[R1-GigabitEthernet0/0/0]undo shutdown //开启端口
[R1-GigabitEthernet0/0/0]ip add 192.168.4.1 24 //设置端口g0/0/1上网段ip
[R1-GigabitEthernet0/0/0]quit //退出
[R1]rip //开启rip
[R1-rip-1]version 2 //设置版本v2
[R1-rip-1]network 192.168.1.0 //宣告网段192.168.1.0/24
[R1-rip-1]network 192.168.4.0 //宣告网段192.168.4.0/24
[R1-rip-1]quit //退出
[R1]display current-configuration // 查看所有配置
4.R2 配置思路:
a,配置端口 g0/0/0 上网段 ip:192.168.4.2/24
b,设置并开启单臂路由配置 g0/0/1.1 的 vlan20 的网关:192.168.2.254/24,g0/0/1.2 的 vlan30 的网关 192.168.3.254/24
c,设置并开启 rip,设置网段宣告:192.168.2.0/24,192.168.4.0/24 和 192.168.3.0/24
<Huawei>undo terminal monitor //撤销终端监控
<Huawei>system-view //进入系统模式
[Huawei]sysname R2 //设置路由器名称为R2
[R2]interface GigabitEthernet 0/0/0 //进入端口g0/0/0
[R2-GigabitEthernet0/0/0]undo shutdown //开启端口
[R2-GigabitEthernet0/0/0]ip add 192.168.4.2 24 //设置端口g0/0/0上网段ip
[R2-GigabitEthernet0/0/0]quit //退出
[R2]interface GigabitEthernet 0/0/1 //进入端口g0/0/1
[R2-GigabitEthernet0/0/0]undo shutdown //开启端口
[R2-GigabitEthernet0/0/0]quit //退出
[R2]interface GigabitEthernet 0/0/1.1 //开启子端口 G0/0/1.1
[R2-GigabitEthernet0/0/1.1]dot1q termination vid 20 //封装dot1q协议,设置子接口对应vlan 20
[R2-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24 //设置vlan 20的网关
[R2-GigabitEthernet0/0/1.1]arp broadcast enable //开启子接口的ARP广播
[R2-GigabitEthernet0/0/1.1]quit //退出
[R2]interface GigabitEthernet 0/0/1.2 //开启子端口 G0/0/1.2
[R2-GigabitEthernet0/0/1.2]dot1q termination vid 30 //封装dot1q协议,设置子接口对应vlan 30
[R2-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24 //设置vlan 30的网关
[R2-GigabitEthernet0/0/1.2]arp broadcast enable //开启子接口的ARP广播
[R2-GigabitEthernet0/0/1.2]quit //退出
[R2]rip //开启rip
[R2-rip-1]version 2 //设置版本v2
[R2-rip-1]network 192.168.4.0 //宣告网段192.168.4.0/24
[R2-rip-1]network 192.168.3.0 //宣告网段192.168.3.0/24
[R2-rip-1]network 192.168.2.0 //宣告网段192.168.2.0/24
[R2-rip-1]quit //退出
[R1]display current-configuration // 查看所有配置
5. 使用 acl 让 PC1 和 PC3 不能 ping 通思路
a,网络要都能联通,相互都能 ping 通.
b,要让 pc1 和 pc3 不通,首先要创建 acl,规则为阻止 pc1 和 pc3 的 icmp 联通.
c,在与 pc1 最近的端口上也就是 e0/0/1 上执行 acl 就可以了.
在LSW1中操作 [SW1] acl name MA1 advance //开启acl并设置名称为MA1,模式为高级模式
[SW1 - acl - adv - MA1] rule 5 deny icmp source 192.168.1.1 0.0.0.0 destination 192.16 8.2.1 0.0.0.0 //设置规则为5,阻止IP从192.168.1.1 到192.168.2.1 联通(也就是PC1和PC3无法ping通)
[SW1 - acl - adv - MA1] quit //退出
[SW1] interface Ethernet 0 / 0 / 1 //进入端口e0/0/1
[SW1 - Ethernet0 / 0 / 1] undo shutdown //开启端口
[SW1 - Ethernet0 / 0 / 1] traffic - filter inbound acl name MA1 //让acl在端口入站时执行
[SW1 - acl - adv - MA1] quit //退出
结果验证
[SW1]display acl name MA1 // 查看 acl MA1 的规则
6. 使用 acl 让 PC4 只能 ping 通 PC2,其他都 ping 不通
a,网络要都能联通,相互都能 ping 通.
b,要让 pc4 只能 ping 通 pc2,首先要创建 acl,要做两个规则先让 pc4 所有都不通,让后添加 pc4 能够 ping 通 pc2 的规格.
c,在与 pc4 最近的端口上也就是 e0/0/3 上执行 acl 就可以了.
在LSW2中操作 [SW2] acl name MA2 advance //开启acl并设置名称为MA2,模式为高级模式
[SW2 - acl - adv - MA2] rule 5 deny ip //设置规则5 所有ip都不能联通
[SW2 - acl - adv - MA2] rule 10 permit ip source 192.168.3.1 0.0.0.0 destination 192.168.1.2 0.0.0.0 //设置规则10 让pc4与pc2能够联通
[SW2 - acl - adv - MA2] quit //退出
[SW2] interface Ethernet 0 / 0 / 3 //进入端口e0/0/3
[SW2 - Ethernet0 / 0 / 3] undo shutdown //开启端口
[SW2 - Ethernet0 / 0 / 3] traffic - filter inbound acl name MA2 //让acl在端口入站时执行
[SW2 - Ethernet0 / 0 / 3] quit //退出
结果图
[SW2]display acl name MA2 // 查看 acl MA2 的规则
六,给大家个思考题
能否使用 acl 让 pc1 和 pc2 不能 ping 通.恢复有积分!
华为拓扑 ---cal 的高级使用
来源: http://www.bubuko.com/infodetail-2466895.html