DATACOM

三层交换机使用ACL实现网咯

作者ericwong,发布于 留下评论

三层交换机使用ACL实现网咯

1.项目要求

VLAN 10能够访问Internet
VLAN 20和30不能访问Internet和VLAN10
VLAN 20和30之间能够相互访问

image-20250807102113441

2.配置环境

配置LSW1

[Huawei]sys LSW1
[LSW1]undo info-center enable
[LSW1]vlan batch 10 20 30 40

[LSW1]int vlanif 10
[LSW1-Vlanif10]ip addr 192.168.1.1 24
[LSW1-Vlanif10]int vlanif 20
[LSW1-Vlanif20]ip addr 192.168.2.1 24
[LSW1-Vlanif20]int vlanif 30
[LSW1-Vlanif30]ip addr 192.168.3.1 24
[LSW1-Vlanif30]int vlanif 40
[LSW1-Vlanif40]ip addr 192.168.4.2 24
[LSW1-Vlanif40]quit
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1-GigabitEthernet0/0/1]int g0/0/2   
[LSW1-GigabitEthernet0/0/2]port link-type access 
[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1-GigabitEthernet0/0/2]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access 
[LSW1-GigabitEthernet0/0/3]port default vlan 30

[LSW1-GigabitEthernet0/0/3]in g0/0/4
[LSW1-GigabitEthernet0/0/4]port link-type access 
[LSW1-GigabitEthernet0/0/4]port default vlan 40

配置AR1


<Huawei>sys
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip addr 192.168.4.1 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip addr 137.107.0.1 24

配置路由器-LSW1

[LSW1]ip route-static 0.0.0.0 0 192.168.4.1

配置路由器-AR1

[AR1]ip route-static 192.168.0.0 16 192.168.4.2

测试,各个PC都能互联互通

image-20250807101157949

3.配置ACL


<LSW1>sys
[LSW1]acl 3000

#--VLAN20 和 VLAN30 不能和 VLAN10互通
[LSW1-acl-adv-3000]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.1
68.2.0 0.0.0.255
[LSW1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.
168.3.0 0.0.0.255
#--VLAN10 可以访问INTERNET
[LSW1-acl-adv-3000]rule 15 permit ip source 192.168.1.0 0.0.0.255

#--VLAN20 和 VLAN30 之间能互通
[LSW1-acl-adv-3000]rule 20 permit ip source 192.168.2.0 0.0.0.255 destination 19
2.168.3.0 0.0.0.255
[LSW1-acl-adv-3000]rule 25 permit ip source 192.168.3.0 0.0.0.255 destination 19
2.168.2.0 0.0.0.255

#--VLAN20 不能访问INTERNET(但由于没有真的互联网,因此只能禁止137的网段)
[LSW1-acl-adv-3000]rule 30 deny tcp source 192.168.2.0 0.0.0.255 destination-por
t eq 80
[LSW1-acl-adv-3000]rule 35 deny tcp source 192.168.2.0 0.0.0.255 destination-por
t eq 443
[LSW1-acl-adv-3000]rule 40 deny tcp source 192.168.2.0 0.0.0.255 destination-por
t eq 53
[LSW1-acl-adv-3000]rule 45 deny icmp source 192.168.2.0 0.0.0.255
[LSW1-acl-adv-3000]rule 50 deny ip source 192.168.2.0 0.0.0.255 destination 137.
107.0.0 0.0.255.255

#--VLAN30 不能访问INTERNET(但由于没有真的互联网,因此只能禁止137的网段)
[LSW1-acl-adv-3000]rule 55 deny ip source 192.168.3.0 0.0.0.255 destination 137.
107.0.0 0.0.255.255

#--绑定VLAN
[LSW1]traffic-filter vlan 10 inbound acl 3000
[LSW1]traffic-filter vlan 20 inbound acl 3000
[LSW1]traffic-filter vlan 30 inbound acl 3000

4.测试

PC1 PING通 互联网

image-20250807110120601

PC2 不能PING通 PC1 和 INTERNET

image-20250807110405559

PC3 不能PING通 PC1 和 INTERNET

image-20250807110541181

PC2 和 PC3 能互通

image-20250807110639778

5.关于流量规则的一些疑问

尝试在PC1的Ethernet 0/0/1抓包,发现有发包有回包,但是PC3 PING PC1 却显示request timeout

image-20250807115655032

image-20250807115706068

原因是这个发包虚拟接口vlanif 30发出,这个虚拟接口是192.168.3.0网段的网关

image-20250807120642830

image-20250807120711089

而当PC1回包的流量想发进去PC3时,却是被ACL3000设置的规则在入口进行拦截,由下图所知,PC3并没有收到回包。

image-20250807121019362

image-20250807121002517

6.PC3无法Ping通PC1的分析

image-20250807121804666

image-20250807121815965