华为eNSP配置专题-ACL的配置

本文模拟了一个公司的环境，并尝试用ACL配置的方式只允许总裁办的网段能够访问财务服务器。

1、前置环境

1.1、宿主机

笔记本电脑，配置如下：Windows10企业版，32GB内存

1.2、eNSP模拟器

eNSP1.3.00

2、基本环境搭建

2.1、基本终端构成和连接

0、总体拓扑如下：

1、2个PC，一个代表研发部（网段为192.168.1.1/24），一个代表总裁办（网段为192.168.2.1/24）
2、1个Server代表财务部（IP为192.168.3.100/24）

3、一个路由器模拟互联网（GE0/0/0的IP为1.1.1.1）
4、一个路由器作为各网段的默认网关，路由器选择AR2220（有3个GE口），另外再加上一个2FE模块。

5、连线：AR1和2个PC代表的网段和一个路由器代表的互联网都用GE口连接。AR1和财务部服务器用以太网口连接。

2.2、各终端基本配置

2.2.1、PC1和PC2的配置

1、PC1配置静态IP和网关如下：

2、PC2配置静态IP和网关如下：

2.2.2、模拟互联网的路由器的配置

1、右击模拟互联网的路由器-》点击“CLI”
2、输入如下命令，为GE0/0/0配置IP1.1.1.1

system-view 
sysname AR2
int g0/0/0
ip add 1.1.1.1 24

2.2.3、财务部服务器的配置

1、财务部服务器配置静态IP和网关如下：

2.2.4、路由器AR1的配置

1、输入如下命令，为路由器AR1的四个端口配置IP地址

system-view
sysname AR2
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 192.168.2.254 24
int g0/0/2
ip add 1.1.1.254 24
int eth4/0/0
ip add 192.168.3.254 24

2.3、让各网段能够ping通互联网路由器

1、右击PC1-》点击“设置”-》点击“命令行”
2、在命令行中ping 1.1.1.1，发觉不能ping通。
3、右击AR1-》点击“CLI”
4、输入命令display ip routing-table，可以看到有一条到1.1.1.1的直连路由。之所以ping不通，是因为模拟互联网的路由器AR2上没有回到AR1的路由。

5、因此需要在AR2上配置一条默认路由。右击AR2-》点击“CLI”-》输入命令ip route-static 0.0.0.0 0 1.1.1.254。
6、这时到PC1上再ping1.1.1.1，就能ping通了。同样，这时PC2和财务部服务器也可以ping通1.1.1.1，代表可以访问互联网了。

3、配置ACL只让总裁办访问财务部服务器

0、首先在PC1上尝试ping 192.168.3.100，发现当前可以ping通：

1、进入AR1的CLI进行配置，进入system-view
2、首先配置ACL

ACL 3000

3、配置第一条规则，禁止研发部网段访问财务服务器：

rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.100 0

4、配置第二条规则，允许总裁办访问财务服务器：

rule 20 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.100 0

5、配置第三条规则，进制其他网段访问财务服务器：

rule 30 deny ip source any destination 192.168.3.100 0

注意这里的192.168.3.100 0中的0实际上是0.0.0.0的缩写，而0.0.0.0实际上匹配的就是当前这一个IP。
6、进入以太网端口4/0/0，应用ACl规则进行流量过滤。注意，其实也可以在其他端口都这么用，但由于只要是192.168.3.100的流量，都会经过这个端口，因此在这个端口配置最方便。

int eth4/0/0
traffic-filter outbound ACL 3000

7、这时在PC1上无法访问财务部服务器，PC2上可以。