一、访问控制列表实验拓扑图
二、实验要求
R1为部门1网关
R2为部门2网关
R3为去往总部出口网关设备
R4为总部核心路由器
要求只有R1能方位R4,其他设备均不能访问
三、基本配置
进行基础ospf配置
四、ACL配置
先配置telnet:
R4:user-interface vty 0 4
R4:authentication-mode password
please~~~:huawei
再配置acl:
R4:acl 2000 //基本的acl为2000到2999
R4:rule 5 permit source 1.1.1.1 0 //允许1.1.1.1的数据报文通过
acl配置完成后,需要在vty中调用使用inbound(由低安全区到高安全区)参数
R4:user-interface vty 0 4
R4:acl 2000 inbound
在R1上进行telnet -a 1.1.1.1 4.4.4.4 可以连通
在R2上进行telnet 4.4.4.4 无法访问4.4.4.4
实验结果表明acl已经完全生效
五、高级访问控制列表配置
基本acl只能用于匹配ip地址,实际应用中往往需要针对数据包的其他参数进行匹配,例如目的ip地址,协议号、端口号等,所以基本acl由于匹配的局限性无法实现更多的功能。
高级acl编号范围为:3000~3999
六、高级ACL配置
先配置telnet:
R4:user-interface vty 0 4
R4:authentication-mode password
please~~~:huawei
再配置acl:
R4:acl 3000 //基本的acl为2000到2999
R4:rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0 //允许源地址为1.1.1.1的访问4.4.4.4
acl配置完成后,需要在vty中调用使用inbound(由低安全区到高安全区)参数
R4:user-interface vty 0 4
R4:acl 3000 inbound
测试:
R1:telent -a 1.1.1.1 40.40.40.40
无法访问
