【技术】华为设备配置ACL,使内网用户无法访问外网
发布作者:微思网络 发布时间:2019-05-17 浏览量:0次
组网需求对内网地址192.168.1.12/24访问外网做限制,使其无法访问所有WEB界面。
图1 配置通过基于ACL规则的包过滤,使内网用户无法访问所有外网的组网图
操作步骤
1 Router上的配置
dhcp enable //使能DHCP功能
#
acl number 2000 //配置ACL规则,允许源地址192.168.1.0/24网段的用户
rule 5 permit source 192.168.1.0 0.0.0.255
#
acl number 3005 //定义用于报文过滤的访问控制的ACL
description deny_souce_ip_www
rule 5 deny tcp source 192.168.1.12 0 destination-port eq www
rule 10 permit tcp source 192.168.1.12 0
#
ip pool pool1 //创建全局地址池
gateway-list 192.168.1.2 //配置DHCP客户端的出口网关地址
network 192.168.1.0 mask 255.255.255.0 //配置全局地址池可动态分配的IP地址范围
dns-list 202.106.0.20 202.106.46.151 //配置DHCP客户端使用的DNS服务器的IP地址
#
interface Serial2/0/0
link-protocol ppp
ip address 219.143.125.234 255.255.255.252
nat outbound 2000 //允许192.168.1.0/24网段的主机进行地址转换
#
interface GigabitEthernet0/0/1
ip address 192.168.1.2 255.255.255.0
traffic-filter inbound acl 3005 //在接口上应用ACL,进行报文过滤
dhcp select global //配置接口工作在全局地址池模式
#
ip route-static 0.0.0.0 0.0.0.0 Serial2/0/0 //配置缺省路由
#
2 厦门HCIA培训验证配置结果
# 在Router上执行display traffic-filter statistics命令,查看流量统计信息
