案例:通过基本 ACL 过滤数据流量
/Traffic_Filter/Huawei,_Traffic-Filter/LAN,_Isolation/pasted_image001.png)
配置需求:
在 Router上 部署基本ACL后,ACL将试图穿越Router的源地址为 192.168.1.0/24 网段的数据包过滤掉,并放行其他流量,从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。
配置方法:
// 在 Router 上,创建基本 ACL 规则:禁止192.168.1.0/24网段访问服务器网络 // 然后,进入 GE0/0/1 接口,并应用规则:所以在接口GE0/0/1的入方向配置流量过滤 [Router] acl 2000 [Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] rule permit source any [Router] interface GigabitEthernet 0/0/1 [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
案例:通过高级 ACL 限制不同网段的用户互访
/Traffic_Filter/Huawei,_Traffic-Filter/LAN,_Isolation/pasted_image.png)
配置需求
1)某公司通过Router实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。
2)现要求Router能够限制两个网段之间互访,防止公司机密泄露。
配置方法
// 创建高级 ACL 3001 并配置 ACL 规则,拒绝研发部访问市场部的报文 // 并从 GE0/0/1 直接阻断去往 10.1.2.0 的流量 [Router] acl 3001 [Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [Router] interface GigabitEthernet 0/0/1 [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001 // 创建高级ACL 3002并配置ACL规则,拒绝市场部访问研发部的报文: // 并从 GE0/0/2 直接阻断去往 10.1.1.0 的流量 [Router] acl 3002 [Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [Router] interface GigabitEthernet 0/0/2 [Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002