华三（H3C）模拟器配置ACL实验

ACL是什么

 Access Controll List（访问控制列表）：通过配置对报文的匹配规则和处理操作来实现包过滤的功能。对端口进行配置，对端口的数据包按指定方向进行过滤。

主要功能：

1. 阻止非法用户访问
2. 流量控制

怎么用

分析问题---规划网络---定义规则----应用规则于指定端口

一些命令：

/**定义规则**/
time-range timename timestart to timeend  //定义时间段
acl basic 2000   //创建基本acl，范围在2000~2999
rule 1 deny source any time-range timename  //定义一条规则1拒绝时间段timename中任何源访问/**应用规则**/
interface GigabitEthernet 0/1  //进入要应用acl的端口
packet-filter 2000 inbound/outbound   //包过滤，将acl编号为2000规则绑定在端口，inbound/outbound根据实际场景选择/**高级acl**/
acl basic 2000   //高级acl，范围在3000~3999
rule 1 deny source ip 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255  //定义一条规则1拒绝源网络1.0向目的网络2.0访问
rule 2 deny source ip 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255  //可定义多个规则，成为列表
interface GigabitEthernet 0/1  
packet-filter 2000 inbound/outbound   /**验证端口**/
int g x/x
display this  //可查看该端口下所有配置 

 实验要求：

(1) 在上班时间（周一到周五的8：00-18：00）不允许访问外网；

(2) 人事部上班时间（周一到周五的8：00-18：00）不能访问财务部；

(3) 人事部、销售部、财务部在不同的广播域，但相互之间可以相互通信；

(4) 销售部不能访问视频服务器。

拓扑图：

命令

1.配置ip

2.配置acl

设置时间段timeacl

 

 设置基本acl 应用于相应端口

 说明：为5/1端口使用inbound也可以替换为：为其他部门所对应的所有端口使用outbound，从数据包发送的端口拦截，减少流量损失。此处为了方便使用inbound

 设置高级acl 应用于相应端口并查看

说明：此处也可将下面的规则应用于3005，命名为规则2，并应用于相应端口

 3010

验证： 

销售部不能ping通视频服务器

各部门：（以人事部为例）通

工作时间:

 部门都不能ping通外网

人事部不能ping通财务部

所思

  之前做实验一直做不对，该通的不通，不该通的通了，后来查资料发现是对inbound和outbound理解有问题。

  inbound或outbound是相对于路由器的端口而言，inbound表示从对进入该端口的数据包进行过滤，不考虑来源于哪，只考虑进入此端口的方向；同理，outbound是对从该端口出去的数据包进行过滤。

  流量控制功能的实现就在于inbound和outbound的使用，从数据包的出口进行拦截和从目的地址的端口进行拦截，明显前者拦截从根源控制了数据包的流量。