华为ENSP——ACL访问控制列表

一、实验步骤

1.1 实验拓扑图

1.2 需求及分析：

• 需求

1、实现全网互通

2、设置标准访问控制列表，使VLAN10与VLAN20不能通信

3、配置扩展访问控制列表，使AR1不能访问ftp服务器，但其他流量不受影响

• 实验分析：

1、实现全网互通：

要实现全网互通就应该对SW1、AR1、AR3进行正确配置，第一步要在SW1中创建VLAN10与20，并分别将E0/0/1至0/0/4接口设置为access口，g0/0/1设置为trunk口；第二步要在AR1上配置单臂路由（子接口）与向上的一条默认路由；第三步在AR3上配置分别配置到192.168.10.0网段与192.168.20.0网段的静态路由即可实验全网互通

2、设置标准访问控制列表，使VLAN10与VLAN20不能通信：

在AR1上配置ACL列表，指定列表号并禁止源IP网段，并放通其他所有IP，最后在20段的出接口g0/0/0.20上调用ACL列表即可

3、配置扩展访问控制列表，使AR1不能访问ftp服务器，但其他流量不受影响：

在AR2上（靠近源的位置）配置ACL列表，禁止12.1.1.1访问FTP服务器202.10.100.100的20、21端口（也就是设置了禁止访问ftp服务端口），放通其他IP流量，