HCIP-1.9 1000人规模网络设计-访问控制配置

数通

网络拓扑和实验要求详见 《HCIP-1.1 1000人规模网络设计-网络拓扑及要求》

财务服务器只允许vlan40的终端访问

SW1配置命令:

# 创建ACL
[SW1]acl 3000
[SW1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.202 0
[SW1-acl-adv-3000]rule deny ip sou any des 192.168.200.202 0
[SW1-acl-adv-3000]qu
# 接口调用
[SW1]traffic-filter vlan 200 outbound acl 3000

此时只有vlan40的PC可以ping通财务服务器,其他vlan的PC不通,如图1

HCIP-1.9 1000人规模网络设计-访问控制配置-下一朵云
图1 访问控制测试

禁止vlan20访问外网

R1配置命令:

[R1]acl 3001
[R1-acl-adv-3001]rule deny ip sou 192.168.20.0 0.0.0.255
[R1-acl-adv-3001]rule permit ip 
[R1-acl-adv-3001]qu
# 调用acl
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[R1-GigabitEthernet0/0/0]

注意:不要在R1的出接口做ACL,因为有NAT,报文发出时先做NAT然后才匹配ACL。

如图2,vlan20的PC无法访问外网9.9.9.9

HCIP-1.9 1000人规模网络设计-访问控制配置-下一朵云
图2 访问外网测试