acl实例

实验目的：使用acl语句禁止某个网段的主机无法上外网

因为是做实验，所以用一台pc来代替isp

交换机配置：

<huawei>sys  
[huawei]vlan batch 101 192    //批量创建vlan101，192  
[huawei]int vlanif 101   
[huawei-vlanif101]ip add 10.1.1.2 24       
[huawei-vlanif101]int vlanif 192  
[huawei-vlanif192]ip add 192.168.1.1 24  
[huawei-vlanif192]q  
[huawei]int g0/0/1  
[huawei-gigabitethernet0/0/1]port link-type access    //g0/0/1端口设置为access
[huawei-gigabitethernet0/0/1]port default vlan 101    //将接口划入vlan101
[huawei-gigabitethernet0/0/1]int g0/0/2  
[huawei-gigabitethernet0/0/2]port link-type access  
[huawei-gigabitethernet0/0/2]port default vlan 192  
[huawei-gigabitethernet0/0/2]q  
[huawei]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1    //配置静态路由

路由器配置：

<huawei>sys  
[huawei]int g0/0/0  
[huawei-gigabitethernet0/0/0]ip add 10.1.1.1 24    //配置接口IP地址  
[huawei-gigabitethernet0/0/0]q  
[huawei]int g0/0/1  
[huawei-gigabitethernet0/0/1]ip add 200.1.1.1 24  
[huawei]ip route-static 0.0.0.0 0.0.0.0 10.1.1.2    //配置回程的静态路由，这一步很容易忽略，不配置就ping不通  

用pc1去ping pc2是可以ping通的。接下来配置acl禁止192.168.0.0这个网段访问外网。
在这之前，需要理清楚acl的规则
acl的类型：

• 标准
  编号范围（2000-2999）
  参数（源IP地址）
• 高级
  编号范围（3000-3999）
  参数（源目IP地址，源目端口，协议类型）

在交换机配置：

[huawei]acl 3000  
[huawei-acl-adv-3000]rule 5 deny ip source 
192.168.0.0 0.0.0.255 destination 200.1.1.1 0.0.0.255  
[huawei-acl-adv-3000]q  
[huawei]int g0/0/1  
[huawei-gigabitethernet0/0/1]traffic-filter outbound acl 3000

现在pc1就ping不通pc2了

有一个小插曲，我想把trunk接口改成access接口时遇到了一点问题，这里记录一下步骤
目的：删除port link-type trunk这条语句
先输：undo port trunk allow-pass vlan all
这时候还需要输入：port trunk allow-pass vlan 1
再输入: undo port link-type
之后就可以配access了