华为企业交换机ACL经典案例-电子发烧友网

实验目的

模拟器有三台主机PC，是PC1,PC2,PC3我们分别使用基本ACL高级ACL和二层ACL来实现一些访问控制，用户可自行体会其中的差别

实验拓补

前半段

开始前，我们首先让三台PC获取IP地址，方便后面的实验

system-view//进入系统视图
Entersystemview,returnuserviewwithCtrl+Z.
[Huawei]undoinfo-centerenable
Info:Informationcenterisdisabled.
[Huawei]sysnameCORE//命名设备
[CORE]vlanbatch102030//创建三个vlan，102030
Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment...done.
[CORE]dhcpenable
Info:Theoperationmaytakeafewseconds.Pleasewaitforamoment.done.

[CORE]interfaceVlanif10//进入vlanif10
[CORE-Vlanif10]ipaddress192.168.10.25424//配置IP地址
[CORE-Vlanif10]dhcpselectinterface//dhcp的方式是基于接口
[CORE-Vlanif10]quit

[CORE]interfaceVlanif20
[CORE-Vlanif20]ipaddress192.168.20.25424
[CORE-Vlanif20]dhcpselectinterface
[CORE-Vlanif20]quit

[CORE]interfaceVlanif30
[CORE-Vlanif30]ipaddress192.168.30.25424
[CORE-Vlanif30]dhcpselectinterface
[CORE-Vlanif30]quit

[CORE]interfaceGigabitEthernet0/0/1
[CORE-GigabitEthernet0/0/1]portlink-typeaccess//设置链路类型为ACCESS
[CORE-GigabitEthernet0/0/1]portdefaultvlan10//划分至vlan10
[CORE-GigabitEthernet0/0/1]quit

[CORE]interfaceGigabitEthernet0/0/2
[CORE-GigabitEthernet0/0/2]portlink-typeaccess
[CORE-GigabitEthernet0/0/2]portdefaultvlan20
[CORE-GigabitEthernet0/0/2]quit

[CORE]interfaceGigabitEthernet0/0/3
[CORE-GigabitEthernet0/0/3]portlink-typeaccess
[CORE-GigabitEthernet0/0/3]portdefaultvlan30
[CORE-GigabitEthernet0/0/3]quit
[CORE]

基本ACL（2000-2999）

实验目的：禁止192.168.30.253的IP地址的主机访问192.168.10.253的主机

[CORE]acl2000//创建基本ACL，编号是2000
[CORE-acl-basic-2000]step10//设置步长为10
[CORE-acl-basic-2000]rudenysource192.168.30.2530.0.0.0//拒绝192.168.30.253的IP报文
[CORE-acl-basic-2000]quit
[CORE]interfaceGigabitEthernet0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filteroutboundacl2000//你G0/0/1的出端口调用ACL2000

高级ACL（3000-3999）

实验目的：禁止IP地址是192.168.30.0的网段访问192.168.10.253的主机

[CORE]acl3000
[CORE-acl-adv-3000]ruledenyipsource192.168.30.00.0.0.255destination192.16
8.10.2530.0.0.0
[CORE-acl-adv-3000]quit

[CORE]interfaceGigabitEthernet0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filteroutboundacl3000

二层ACL（4000-4999）

实验目的：禁止MAC地址是5489-98d2-1bdd的主机访问MAC地址为5489-9834-1372的主机

注：这里的设计有问题，在三层交换机上，只有两台主机在同一vlan下才可以实现，不过思路还是这个思路。

这里发生了个有趣的事情，ENSP模拟器宛如ZZ一样，怎么都实现不了想要的效果，还以为配置有问题，重新增加交换机和主机测试就OK了，所以模拟器还是有很多潜在的BUG的。

哈哈，其实是我错了，我要留下这段话。

[CORE]acl4001
[CORE-acl-L2-4001]ruledenysource-mac5489-98d2-1bdddestination-mac5489-9834
-1372
[CORE-acl-L2-4001]quit

[CORE]interfaceGigabitEthernet0/0/1
[CORE-GigabitEthernet0/0/1]traffic-filteroutboundacl4001
[CORE-GigabitEthernet0/0/1]quit

更正：天呐！这里犯了一个错误，其实这段代码是实现不了互相禁止的，因为vlan10和vlan30属于三层IP转发，三层交换机上，如果是同一vlan下是可以用ACL4000实现的（同一vlan转发不涉及三层转发）。所以有三层交换机的时候我们尽量用高级ACL来做（3000-3999）.

常用ACL

分类	规则定义描述	编号
基本ACL	仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。	2000-2999
高级ACL	既可使用IPv4报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。	3000-3999
二层ACL	使用报文的以太网帧头信息来定义规则，如根据源MAC（Media Access Control）地址、目的MAC地址、二层协议类型等。	4000-4999
用户自定义ACL	使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则，即以报文头为基准，指定从报文的第几个字节开始与字符串掩码进行“与”操作，并将提取出的字符串与用户自定义的字符串进行比较，从而过滤出相匹配的报文。	5000-5999
用户ACL	既可使用IPv4报文的源IP地址或源UCL（User Control List）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。	6000-6999
基本ACL6	可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则	2000-2999
高级ACL6	可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。	3000-3999

审核编辑：汤梓红

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

华为

华为

+关注

关注
215

文章
33629

浏览量
247162
交换机

交换机

+关注

关注
19

文章
2438

浏览量
95667
模拟器

模拟器

+关注

关注
2

文章
818

浏览量
42698
ACL

ACL

+关注

关注
0

文章
59

浏览量
11875

华为路由器交换机VLAN配置实例

华为路由器交换机VLAN配置实例[hide]华为路由器交换机VLAN配置实例使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为

发表于 05-25 00:21

虚拟交换机有什么特点？

虚拟交换机是数字程控交换机所具有的一种功能，是当今电话通信中最新应用技术。Centrex 意思是在用户端不装任何小交换机，而由数字程控交换机直接向这个

发表于 11-06 09:10

接入层交换机、汇聚层交换机和核心层交换机的区别

景区别对于核心层交换机、汇聚层交换机以及接入层交换机并没有固定要求，它们处于哪一层主要取决于网络环境的大小及设备的转发能力，也不是每个网络都必须有这三个结构，有些企业只有接入层

发表于 06-04 11:57

【资料】ACL/VPN/OSPF/VRRP/交换机/路由器等工作原理详细讲解

、GRE VPN 技术原理详细讲解3、OSPF理论知识详细讲解4、VRRP 技术原理详细讲解5、交换机工作原理详细讲解6、路由器工作原理详细介绍

发表于 04-07 11:59

网络交换机的应用类型

网络交换机的应用类型根据交换机所应用的网络层次，我们又可以将网络交换机划分为可分为企业级交换机、校园网

发表于 01-08 11:06 •2566次阅读

华为交换机

华为交换机

发表于 03-24 14:17 •5次下载

华为第五代敏捷交换机S12700：重新定义交换机

关键词：华为 , 敏捷 , 交换机 , S12700 8月8日，华为在北京发布全球首个以业务和用户体验为中心的敏捷网络架构及全球首款敏捷交换机S12700。用

发表于 02-16 22:57 •1370次阅读

华为交换机配置技巧入门到精通的资料合集免费下载

本文档的主要内容详细介绍的是华为交换机配置技巧入门到精通的资料合集免费下载主要内容包括了:TELNET远程管理交换机配置，交换机基于端口VLAN应用配置，Web管理的配置，VLAN接口

发表于 01-14 08:00 •64次下载

家庭交换机怎么安装_交换机网速是平分的吗

已经广泛应用于各个领域，作为网络的主要连接设备，被众多用户广泛应用，在这里我同大家分享的详细安装图解，在这里你会了解，。交换机华为交换机华为S5700

发表于 03-25 10:29 •9171次阅读

助力企业构建更可靠的云上云下网络，华为云企业交换机巧解企业上云难题！

助力企业构建更可靠的云上云下网络，华为云企业交换机巧解企业上云难题！近年来，随着通讯网络的发展，交换机

发表于 12-27 15:06 •479次阅读

助力企业构建更可靠的云上云下网络，华为云企业交换机巧解企业上云难题！

助力企业构建更可靠的云上云下网络，华为云企业交换机巧解企业上云难题！近年来，随着通讯网络的发展，交换机

发表于 12-31 21:54 •352次阅读

华为三层交换机配置实例

有朋友讨论华为三层交换机的配置问题，今天小编也整理了下华为交换机的文章，大家来一起学习交流下！

发表于 06-05 11:19 •810次阅读

二层交换机和三层交换机的区别

计算机网络中的交换机是用于在局域网（LAN）中转发数据包的重要设备。其中，二层交换机和三层交换机是两种常见的交换机类型。本文将详细介绍二层交换机

发表于 06-12 14:09 •6362次阅读

非网管型交换机和网管交换机有什么区别

在当今的交换机中，交换机主要可分为非网管交换机 和网管交换机。那么非网管交换机和网管交换机有什

发表于 07-10 17:08 •1614次阅读

工业级POE交换机的ACL

工业级POE交换机通常支持访问控制列表（Access Control List，ACL）功能，用于实施网络安全策略。ACL可以根据源IP地址、目标IP地址、传输协议、端口号等条件来过滤和控制网络流量。

发表于 04-17 16:14 •101次阅读