实验1：

目的：拒绝1.0网段访问 PC1：192.168.1.1/24 网关：192.168.1.254PC2：192.168.2.1/24 网关：192.168.2.254步骤：AR6Huawei]sysname AR6[AR6]inter gi0/0/0[AR6-GigabitEthernet0/0/0]ip add 192.168.1.254 24[AR6-GigabitEthernet0/0/0]q[AR6]inter gi0/0/1[AR6-GigabitEthernet0/0/1]ip add 192.168.12.1 24[AR6-GigabitEthernet0/0/1]q[AR6]rip [AR6-rip-1]version 2[AR6-rip-1]network 192.168.1.0 [AR6-rip-1]network 192.168.12.0AR7<Huawei>sys[Huawei]sysname AR7[AR7]inter gi0/0/0[AR7-GigabitEthernet0/0/0]ip add 192.168.12.2 24[AR7-GigabitEthernet0/0/0]q[AR7-GigabitEthernet0/0/1]ip add 192.168.23.1 24[AR7-GigabitEthernet0/0/1]q[AR7]rip[AR7-rip-1]version 2[AR7-rip-1]network 192.168.12.0 [AR7-rip-1]network 192.168.23.0[AR7]display ip routing-tableAR11<Huawei>sysHuawei]sysname AR11[AR11]inter gi0/0/0[AR11-GigabitEthernet0/0/0]ip add 192.168.23.2 24[AR11-GigabitEthernet0/0/0]q[AR11]inter gi0/0/1[AR11-GigabitEthernet0/0/1]ip add 192.168.34.1 24[AR11-GigabitEthernet0/0/1]q[AR11]rip [AR11-rip-1]version 2[AR11-rip-1]network 192.168.23.0 [AR11-rip-1]network 192.168.34.0AR10<Huawei>sys[Huawei]sysname AR10[AR10]inter gi0/0/0[AR10-GigabitEthernet0/0/0]ip add 192.168.34.2 24[AR10-GigabitEthernet0/0/0]q[AR10]inter gi0/0/1[AR10-GigabitEthernet0/0/1]ip add 192.168.2.254 24[AR10-GigabitEthernet0/0/1]q[AR10]rip [AR10-rip-1]version 2[AR10-rip-1]network 192.168.34.0 [AR10-rip-1]network 192.168.2.0验证是否可以通AR6[AR6]acl 2000 设置基本acl[AR6-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 规则10 拒绝源ip1.0网段所有 通配符[AR6-acl-basic-2000]q[AR6]interface gi0/0/0[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用命令2000验证：实验二：连接交换机（交换机可以连接多台电脑，路由器只能连接一台电脑） 加三台主机 要求：只允许PC1与PC2拼通环境：PC3：192.168.1.3/24 网关192.168.1.254PC4：192.168.1.4/24 PC5：192.168.1.5/24思路：1.仅仅允许PC1，拒绝所有2.明确拒绝其他三台，允许所有在实验一的基础上开始实验二，那应先撤销对AR6入端口的acl设置[AR6]inter gi 0/0/0[AR6-GigabitEthernet0/0/0]undo traffic-filter inbound 端口的调用命令要删掉，以免日后启用这个端口报错[AR6]undo acl 2000 删掉acl[AR6]acl 2000 配置基本acl[AR6-acl-basic-2000]rule 10 permit source 192.168.1.1 0.0.0.0 规则为10 只允许1.1[AR6-acl-basic-2000]rule 20 deny source 192.168.1.0 0.0.0.255 规则为20 拒绝1.0所有[AR6-acl-basic-2000]q[AR6]interface gi0/0/0[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用acl2000[AR6-GigabitEthernet0/0/0]q[AR6]display acl all 查看已配置的aclTotal quantity of nonempty ACL number is 1Basic ACL 2000, 2 rulesAcl's step is 5rule 10 permit source 192.168.1.1 0 rule 20 deny source 192.168.1.0 0.0.0.255 验证PC1与PC2可拼通PC1与PC2不可拼通

实验三

要求：基于实验1的基础 PC1不可拼通AR11 但可远程[AR11]acl 3000 配置高级acl[AR11-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 规则5（随便配置编号）拒绝1.1网络的PIN命令[AR11]interface gi0/0/0[AR11-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 调用acl3000[AR11-GigabitEthernet0/0/0]q[AR11]user-interface vty 0 4 因为要验证远程因此给被远程的机器配置密码以供验证[AR11-ui-vty0-4]authentication-mode password Please configure the login password (maximum length 16):123LSW1：[Huawei]interface vlanif 1 给交换机2配置ip地址（模拟器中的pc机没有远程的功能，因此我们用交换机来代替）[Huawei-Vlanif1]ip add 192.168.1.5 24[Huawei-Vlanif1]q[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 给交换机（有路由功能，安排一条出去的路径）验证：

实验四：

要求：允许1.0网段远程AR11，其他网段都不可以第一步：基于实验3，删掉AR11的acl3000，进入端口删掉traffic[AR11]acl 2001 设置基本acl[AR11-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 允许1.0网段访问[AR11-acl-basic-2001]q[AR11]user-interface vty 0 4 [AR11-ui-vty0-4]authentication-mode password Please configure the login password (maximum length 16):1234[AR11-ui-vty0-4]acl 2001 inbound 在虚拟接口上用这条调用命令后，其他默认是拒绝验证：分别LW1远程11 AR7远程11

实验五：

要求：1.1，1.3，1.5，1.7拒绝访问pc2 其他可以基于实验四，[AR11]undo acl 2001思路：1.找公共部分，相同位直接写，不同位变成0 1 0000 00013 0000 00115 0000 01017 0000 0111可变量只有最后一部分的两个字节公共部分192.168.1.00000001=192.168.1.12.确认通配符：通配符与公共ip地址是一一对应的；在通配符中，与公共ip地址中不变的位对应的位置写0，反之写10.0.0.00000110==>0.0.0.6配置：[AR6]acl 3001[AR6-acl-adv-3001]rule 10 deny icmp source 192.168.1.1 0.0.0.6 destination 192.168.2.1 0.0.0.0 拒绝从公共部分为192.168.1.1（推演过程如上）的客户端拼到192.168.2.1的服务器验证：