1、【注意】ACL访问列表添加配置中最后一条一定是任意允许访问任意,如果未配置的话,接口调用后会导致整网断网。
2、配置不当可能造成全网断网,请在方便断网的时候配置测试。若出现断网,删除访问控制调用后就可以恢复
3、接口访问控制要调用in方向,调用顺序是匹配ACL访问列表的第一条就不会再匹配下面的,如果是第一条未匹配中,会按顺序往下匹配
4、若是192.168.1.0网段对应的接口是子接口,那么ACL在子接口下调用
三、组网拓扑
image.png
四、配置说明
NBR路由器内网有两个网段,正常接入互联网;
● LAN0口下面接的用户是192.168.1.0/24网段的,网关地址是192.168.1.1
● LAN1口下面接的用户是192.168.2.0/24网段的,网关地址是192.168.2.1
● 默认情况下2个网段没有限制,是可以互相访问的,并且都可以上互联网
● 现在想实现192.168.1.0网段不允许和192.168.2.0网段互访问
五、配置步骤
1、不同接口配置不同网段:👉点我查看
2、登录NBR的WEB页面,选择:安全认证>ACL访问列表>添加
image.png3、选择扩展ACL,填写ACL列表名称,可填写数字或英文、中文image.png
标准ACL:只支持对源地址进行控制
扩展ACL:支持对源地址、源端口、目的地址、目前端口、协议做精细化控制
4、选中创建好ACL列表,添加>+添加ACE规则,按照下面顺序进行添加
①禁止 192.168.1.0/24 访问 192.168.2.0/24
image.png
注:如果需要允许访问内网的多个网段,在此处继续添加多个。
②由于ACL默认最后有一条禁止所有,所以在最后一条要添加任意 允许 任意,代表放通其他网段上网。
image.png
配置完成后的ACE规则,如下图所示:
image.png
注:ACL列表的ACE规则是从上到下匹配的,只要匹配中,不会再往下匹配了。
假如需要允许访问192.168.2.0网段的192.168.2.2这个地址,只需要第一条配置允许192.168.1.0允许访问192.168.2.2的规则其他规则的配置顺序和上方的一样。
5、接口调用规则:安全认证>接口访问控制>+添加接口访问控制,在192.168.1.0/24对应的内网口LAN0口(Gi0/0)的收报文(in)调用ACL规则
image.png
6、配置完成,测试不同网段之间连通性以
#我是科技创作人#