HCIA数据通信——ACL

数据通信——ACL"/>

HCIA数据通信——ACL

数据通信——网络层（ACL）_咕噜跳的博客-CSDN博客文章浏览阅读136次。在网络中会区分三个区域：（Trust）内网，（UnTrust）外网，（DM2）非军事化区域防火墙在网络中可以阻止DM2对Trust的访问。同理，从Trust到UnTrust或者UnTrust到Trust都过不去。我们通过ACL可把路由器当防火墙使用。ACL（Access Control List）访问控制列表工具，多用在三层设备。这里主要针对IPV4的ACL。ACL是可以对发来的数据进行访问控制的，它由匹配规则和匹配顺序的编号组成，不同的ACL访问控制的范围也不一样。。这里主要以实验为主了。

ACL可以阻止某些设备互访，ACL属于三层协议，因此我们可以用三层交换机和路由器实现。如下图连接设备：

以上的话呢，地址随便配，但要注意路由器的网关设置以及三层以太网设备接口要处于Access模式并且划分好子接口 。

接下来，我们进行ACL配置，不过在此之前，我们先测试下两个拓扑设备的连通性：

现在我们可以看到设备之间是互通的，我们要通过ACL阻止它们通信。我们通过在出接口进行阻断：

随后看到，互相Ping不通了： 

重点命令： 

[Huawei]acl 2000 

[Huawei-acl-basic-2100]rule 10 deny source 172.168.1.0 0.0.0.255  //规则为10，阻止源网段地址访问
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2100  //接口下履行该ACL规则

 最后，我们用路由器进行测试，这个的话我们使用的是ACL3000，ACL数值不同，它的功能也就不同。ACL3000我们可以选择阻断的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文：

最后可以发现，阻断成功。