今天的實驗還是以前的筆記�,實驗效果雖然出來了�,但其實還是有些困惑�,這個最后再說。
實驗拓撲
如上圖拓撲�,實驗目的:只允許PC1(Client1)訪問R1����,不允許PC2(Clien2)訪問R1���。
基礎配置:
AR1:
interface GigabitEthernet0/0/0
ip address 12.12.12.1 255.255.255.0
ip route-static 192.168.0.0 255.255.0.0 12.12.12.2
AR2:
interface Ethernet0/0/0
ip address 192.168.1.254 255.255.255.0
interface Ethernet0/0/1
ip address 192.168.100.254 255.255.255.0
interface GigabitEthernet0/0/0
ip address 12.12.12.2 255.255.255.0
PC1:
PC1的IP地址
PC2:
PC2的IP地址
連通性測試:
PC1:
PC1連通性測試
PC2:
PC2連通性測試
目前路由都可達���,網絡連通性沒有問題�����,接下來配置ACL,限制PC2的訪問。
華為ACL配置思路:
1.配置ACL
2.配置流分類
3.配置流行為
4.配置流策略
5.把策略應用到接口
1.配置ACL
[AR2]acl name deny_PC2
[AR2-acl-adv-deny_PC2] rule 5 deny ip source 192.168.100.0 0.0.0.255 destination 12.12.12.0 0.0.0.255
[AR2-acl-adv-deny_PC2]rule 10 permit ip
2. 配置流分類
[AR2]traffic classifier deny_PC2
[AR2-classifier-deny_PC2]if-match acl deny_PC2
3. 配置流行為
[AR2]traffic behavior deny_PC2
[AR2-behavior-deny_PC2] permit
4. 配置流策略
[AR2]traffic policy deny_PC2
[AR2-trafficpolicy-deny_PC2]classifier deny_PC2 behavior deny_PC2
5.把策略應用到接口
[AR2] int Ethernet0/0/0
[AR2-Ethernet0/0/0]traffic-policy deny_PC2 outbound
測試效果:
PC1連通性正常
PC2無法訪問
使用訪問控制后�����,PC1還能正常訪問R1����,但PC2已經無法訪問。
實驗結束。
雖然已經達到實驗目的,但小編對配置華為設備訪問控制的理解可能還是有些欠缺。以上實驗中ACL是deny�,在流行為里面使用了permit����。我個人理解是流行為允許了ACL中的deny動作(匹配+動作)?���;蛘叻催^來��,在ACL里面使用permit,在流行為中使用deny��,那么應該就是說在ACL中匹配的流量在流行為中被deny了(實驗驗證過)���。但令我費解的是查看華為官方文檔��,文檔中的演示:ACL和流行為都是deny的����,實驗效果也和上面兩種一樣�����。
上面說的如果有點繞,簡化一下:
ACL:deny,流行為:permit��,結果deny
ACL:permit���,流行為:deny����,結果deny
ACL:deny,流行為:deny��,結果deny (官方示例)
ACL:permit���,流行為:permit�,結果permit
小編個人覺得華為的訪問控制配起來真尼瑪煩,據說現在也能直接把ACL掛在接口了,但我沒找到�。
最后�����,有興趣學習華為數通的同學,推薦使用eNSP模擬華為設備,使用HedEx Lite查閱技術文檔���。
