一、实验拓扑与需求说明1. 拓扑结构核心设备AR1、AR2 两台路由器LSW1、LSW2、LSW3 三台交换机网段规划服务器网段10.3.1.0/24服务器地址10.3.1.100/101/102/103网关 10.3.1.1PC1 网段10.1.6.0/24PC1 地址10.1.6.100/24网关 10.1.6.1PC2 网段192.168.8.0/24PC2 地址192.168.8.100/24网关 192.168.8.1路由器互联网段172.16.12.0/24AR1:172.16.12.2AR2:172.16.12.12. 实验目标实现全网所有设备互通允许10.1.6.0/24网段远程登录 LSW1 交换机拒绝192.168.8.0/24网段 ping10.3.1.102、10.3.1.103拒绝11:45-12:00时间段内所有主机访问10.3.1.100、10.3.1.101二、基础配置接口 IP 与路由1. AR1 路由器配置# 配置接口IP [AR1]int GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]ip address 10.3.1.1 24 # 服务器网段网关 [AR1-GigabitEthernet0/0/1]quit [AR1]int GigabitEthernet 0/0/0 [AR1-GigabitEthernet0/0/0]ip address 10.1.6.1 24 # PC1网段网关 [AR1-GigabitEthernet0/0/0]quit [AR1]int Serial 1/0/0 [AR1-Serial1/0/0]ip address 172.16.12.2 24 # 与AR2互联地址 [AR1-Serial1/0/0]quit # 配置默认路由所有未知流量转发给AR2 [AR1]ip route-static 0.0.0.0 0.0.0.0 172.16.12.12. AR2 路由器配置# 配置接口IP [AR2]int Serial 1/0/0 [AR2-Serial1/0/0]ip address 172.16.12.1 24 # 与AR1互联地址 [AR2-Serial1/0/0]quit [AR2]int GigabitEthernet 0/0/0 [AR2-GigabitEthernet0/0/0]ip address 192.168.8.1 24 # PC2网段网关 [AR2-GigabitEthernet0/0/0]quit # 配置默认路由所有未知流量转发给AR1 [AR2]ip route-static 0.0.0.0 0.0.0.0 172.16.12.23. LSW2 交换机配置PC1 接入# 配置接口为access模式划入VLAN10 [LSW2]int GigabitEthernet 0/0/1 [LSW2-GigabitEthernet0/0/1]port link-type access [LSW2-GigabitEthernet0/0/1]port default vlan 10 [LSW2-GigabitEthernet0/0/1]quit [LSW2]int GigabitEthernet 0/0/2 [LSW2-GigabitEthernet0/0/2]port link-type access [LSW2-GigabitEthernet0/0/2]port default vlan 10 [LSW2-GigabitEthernet0/0/2]quit # 配置VLANIF10作为PC1网段网关 [LSW2]int Vlanif 10 [LSW2-Vlanif10]ip address 10.1.6.2 24 [LSW2-Vlanif10]quit三、需求 2允许 10.1.6.0 网段远程登录 LSW1配置 Telnet 服务以 LSW2 为例LSW1 配置逻辑一致# 开启Telnet服务 [LSW2]telnet server enable Info: The Telnet server has been enabled. # 配置AAA用户 [LSW2]aaa [LSW2-aaa]local-user user01 password cipher huawei123 # 设置密码 [LSW2-aaa]local-user user01 privilege level 15 # 配置最高权限 [LSW2-aaa]quit # 配置VTY用户线使用AAA认证 [LSW2]user-interface vty 0 4 [LSW2-ui-vty0-4]authentication-mode aaa [LSW2-ui-vty0-4]quit验证远程登录在 AR1 上测试 Telnet 访问 LSW2AR1telnet 10.1.6.2 Trying 10.1.6.2 ... Press CTRLK to abort Connected to 10.1.6.2. Login authentication Username:user01 Password:huawei123 LSW2四、需求 34配置高级 ACL 实现访问控制1. 配置时间段仅 11:45-12:00 生效shell[AR1]time-range bbb 11:45 to 12:00 daily # 每天11:45-12:002. 配置高级 ACL3000 号shell[AR1]acl number 3000 # 高级ACL可匹配源/目的IP、协议、端口 [AR1-acl-adv-3000] # 拒绝192.168.8.0网段ping 10.3.1.102 rule 5 deny icmp source 192.168.8.0 0.0.0.255 destination 10.3.1.102 0 # 拒绝192.168.8.0网段ping 10.3.1.103 rule 10 deny icmp source 192.168.8.0 0.0.0.255 destination 10.3.1.103 0 # 拒绝所有主机在指定时间段ping 10.3.1.100 rule 15 deny icmp destination 10.3.1.100 0 time-range bbb # 拒绝所有主机在指定时间段ping 10.3.1.101 rule 20 deny icmp destination 10.3.1.101 0 time-range bbb # 允许其他所有流量通过 rule 100 permit ip [AR1-acl-adv-3000]quit3. 在接口应用 ACL服务器网段出口shell# 在AR1连接服务器的G0/0/1接口出方向应用ACL [AR1]int GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 [AR1-GigabitEthernet0/0/1]quit五、实验验证与结果分析1. 全网互通验证PC1 ping PC2、PC1 ping 服务器、PC2 ping 服务器除 ACL 限制外均能正常通信AR1/AR2 / 交换机之间路由可达2. ACL 控制效果验证PC2192.168.8.100ping 10.3.1.102/103请求超时被 ACL 拒绝PC1/PC2 在 11:45-12:00 ping 10.3.1.100/101请求超时被时间段 ACL 拒绝非时间段 ping 10.3.1.100/101正常通信仅时间段内被限制六、核心知识点总结ACL 类型选择基础 ACL2000-2999仅匹配源 IP适合简单网段过滤高级 ACL3000-3999可匹配源 / 目的 IP、协议、端口、时间段适合复杂控制本实验用高级 ACL应用方向inbound过滤进入接口的流量outbound过滤从接口发出的流量本实验在服务器网段出口应用 outbound时间段控制用time-range定义时间范围在 ACL 规则中绑定实现基于时间的访问控制Telnet 安全结合 ACL 限制 VTY 访问避免未授权网段登录设备七、配置注意事项ACL 默认最后隐含deny any需在规则末尾添加permit ip允许其他流量时间段配置为daily表示每天生效也可指定工作日 / 周末高级 ACL 尽量靠近目的端应用避免无效流量占用链路Telnet 配置需开启 AAA 认证避免使用明文密码登录