Top

NTD TCNE DAY01

  1. 案例1:配置VRRP
  2. 案例2:VRRP 链路跟踪
  3. 案例3:多 VLAN 网关负载均衡
  4. 案例4:配置浮动路由
  5. 案例5:配置基本ACL
  6. 案例6:配置高级ACL

1 案例1:配置VRRP

1.1 问题

  1. 配置接口IP地址
  2. 如图配置VRRP虚拟网关和优先级
  3. 验证每个网关的状态

    1.2 方案

    搭建实验环境,如图-1所示。
    TCNE DAY01 - 图1
    图-1

    1.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置终端设备 PC1
    PC1 IP 地址:
    192.168.1.1
    255.255.255.0
    192.168.1.254 //后期通过 VRRP 形成的 虚拟网关IP

2)配置 SW1
system-view //进入系统视图
[Huawei]sysname SW1 //修改设备名称为 SW1
[SW1] vlan 10 //创建 vlan 10
[SW1-vlan10]quit

[SW1]interface GigabitEthernet 0/0/1 //SW1 与 R1 的互联接口
[SW1-GigabitEthernet0/0/1]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/1]port default vlan 10 //将端口加入 vlan 10
[SW1-GigabitEthernet0/0/1]quit

[SW1]interface gi0/0/2 //SW1 与 R2 的互联接口
[SW1-GigabitEthernet0/0/2]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/2]port default vlan 10 //将端口加入 vlan 10
[SW1-GigabitEthernet0/0/2]quit

[SW1]interface gi0/0/3 //SW1 与 PC1 的互联接口
[SW1-GigabitEthernet0/0/3]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/3]port default vlan 10 //将端口加入 vlan 10
[SW1-GigabitEthernet0/0/3]quit

3)配置R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //R1与SW1 的互联接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.251 24
[R1-GigabitEthernet0/0/0]quit

4)配置R2
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0 //R2与SW1 的互联接口
[R2-GigabitEthernet0/0/0]ip address 192.168.1.252 24
[R2-GigabitEthernet0/0/0]quit

5)配置R1 的 VRRP
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 //设置虚拟网关
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200 //设置 VRRP 优先级为 200

6)配置 R2 的 VRRP
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 //设置虚拟网关

7)查看VRRP信息
[R1]display vrrp brief //查看 R1 在 VRRP 中的状态,是主(Master)网关
Total:1 Master:1 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
————————————————————————————————
1 Master GE0/0/0 Normal 192.168.1.254

[R2]display vrrp brief //查看 R2 在 VRRP 中的状态,是备份(Backup)网关
Total:1 Master:0 Backup:1 Non-active:0
VRID State Interface Type Virtual IP
————————————————————————————————
1 Backup GE0/0/0 Normal 192.168.1.254

8)测试终端与网关的连通性
PC1:
Ping 192.168.1.254 -t //PC1 访问自己的网关
- 可以访问成功,数据包发向主网关 R1 (在R1上抓包可以验证)
- 断开 R1 的 Gi0/0/0 接口,依然可以访问成功;数据包发向网关 R2
- R1 的 Gi0/0/0 接口修复成功,数据包再次发向网关 R1

2 案例2:VRRP 链路跟踪

2.1 问题

  1. 配置接口IP地址
  2. 配置 VRRP 主备网关
  3. 配置 VRRP 链路跟踪
  4. 断开 R1 Gi0/0/1 查看 VRRP 状态
  5. 打开 R1 Gi0/0/1 查看 VRRP 状态

    2.2 方案

    搭建实验环境,如图-2所示。
    TCNE DAY01 - 图2
    图-2

    2.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置终端设备 PC1
    PC1 IP 地址:
    192.168.1.1
    255.255.255.0
    192.168.1.254 //后期通过 VRRP 形成的 虚拟网关IP
    PC2 IP 地址:
    192.168.2.1
    255.255.255.0
    192.168.2.254 //R3的网关接口IP地址

2)配置 SW1
system-view //进入系统视图
[Huawei]sysname SW1 //修改设备名称为 SW1

[SW1]interface GigabitEthernet 0/0/1 //SW1 与 R1 的互联接口
[SW1-GigabitEthernet0/0/1]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/1]quit

[SW1]interface gi0/0/2 //SW1 与 R2 的互联接口
[SW1-GigabitEthernet0/0/2]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/2]quit

[SW1]interface gi0/0/3 //SW1 与 PC1 的互联接口
[SW1-GigabitEthernet0/0/3]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/3]quit

3)配置R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //R1与SW1 的互联接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.251 24
[R1-GigabitEthernet0/0/0]quit

[R1]interface GigabitEthernet 0/0/1 //R1与R3 的互联接口
[R1-GigabitEthernet0/0/1]ip address 192.168.13.1 24
[R1-GigabitEthernet0/0/1]quit

[R1]ip route-static 192.168.2.0 24 192.168.13.3 //添加去往 PC2 的路由

4)配置R2
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0 //R2与SW1 的互联接口
[R2-GigabitEthernet0/0/0]ip address 192.168.1.252 24
[R2-GigabitEthernet0/0/0]quit

5)配置R3
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet 0/0/0 //R3与PC2 的互联接口
[R3-GigabitEthernet0/0/0]ip address 192.168.2.254 24
[R3-GigabitEthernet0/0/0]quit

[R3]interface GigabitEthernet 0/0/1 //R3与R1 的互联接口
[R3-GigabitEthernet0/0/1]ip address 192.168.13.3 24
[R3-GigabitEthernet0/0/1]quit

[R3]ip route-static 192.168.1.0 24 192.168.13.1 //添加去往 PC1 的路由

6)配置 R1 的 VRRP
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 //设置虚拟网关
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200 //设置 VRRP 优先级为 200

7)配置 R2 的 VRRP
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 //设置虚拟网关

8)配置 R1 的 VRRP 链路跟踪
[R1]interface GigabitEthernet 0/0/0 //PC1 的网关接口
[R1-GigabitEthernet0/0/0] vrrp vrid 1 track interface gi0/0/1 reduced 110
//接口Gi0/0/1 断开后,vrrp 优先级降低 110,变成90

9)测试 VRRP 链路跟踪,Gi0/0/1 断开之前
[R1]display vrrp brief //查看 R1 在 VRRP 中的状态,是主(Master)网关
Total:1 Master:1 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
————————————————————————————————
1 Master GE0/0/0 Normal 192.168.1.254

[R2]display vrrp brief //查看 R2 在 VRRP 中的状态,是备份(Backup)网关
Total:1 Master:0 Backup:1 Non-active:0
VRID State Interface Type Virtual IP
————————————————————————————————
1 Backup GE0/0/0 Normal 192.168.1.254

10)测试 VRRP 链路跟踪,Gi0/0/1 断开之后
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] shutdown //关闭 VRRP 协议跟踪的端口 Gi0/0/1

[R2]display vrrp brief //查看 R2 在 VRRP 中的状态,是主(Master)网关
Total:1 Master:1 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
————————————————————————————————
1 Master GE0/0/0 Normal 192.168.1.254

[R1]display vrrp brief //查看 R1 在 VRRP 中的状态,是备份(Backup)网关
Total:1 Master:0 Backup:1 Non-active:0
VRID State Interface Type Virtual IP
————————————————————————————————
1 Backup GE0/0/0 Normal 192.168.1.254

[R1]display vrrp
GigabitEthernet0/0/0 | Virtual Router 1
State : Backup //R1 的 VRRP 状态为“备份”
Virtual IP : 192.168.1.254 //虚拟网关IP地址
Master IP : 192.168.1.252 //当前主网关设备的接口IP地址
PriorityRun : 90 //当前本设备运行的 VRRP 优先级为 90
PriorityConfig : 200 //当前本设备配置的 VRRP 优先级为 200
MasterPriority : 100 //当前主网关的 VRRP 优先级为 100
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Track IF : GigabitEthernet0/0/1 Priority reduced : 110 //VRRP 链路跟踪配置
IF state : DOWN //被跟踪的接口处于 DOWN 的状态
Create time : 2020-02-12 18:24:59 UTC-08:00
Last change time : 2020-02-12 18:25:46 UTC-08:00

3 案例3:多 VLAN 网关负载均衡

3.1 问题

  1. Vlan 6 的主网关在 SW1,优先级为 150
  2. Vlan 6 的备份网关在 SW2 ,优先级为 130
  3. Vlan 8 的主网关在 SW2 ,优先级为 150
  4. Vlan 8 的备份网关在 SW1 ,优先级为 130
  5. Vlan 6 的虚拟IP地址为:192.168.6.254
  6. Vlan 8 的虚拟IP 地址为:192.168.8.254

    3.2 方案

    搭建实验环境,如图-3所示。
    TCNE DAY01 - 图3
    图-3

    3.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置终端设备 PC1
    PC1 IP 地址:
    192.168.6.1
    255.255.255.0
    192.168.6.254 //后期通过 VRRP 形成的 虚拟网关IP
    PC2 IP 地址:
    192.168.8.1
    255.255.255.0
    192.168.8.254 //后期通过 VRRP 形成的 虚拟网关IP

2)配置 SW3
system-view //进入系统视图
[Huawei]sysname SW3 //修改设备名称为 SW3
[SW3] vlan batch 6 8 //批量创建 vlan 6 和 vlan 8

[SW3]interface Ethernet0/0/1 //SW3 与 PC1 的互联接口
[SW3-Ethernet0/0/1]port link-type access //配置链路类型为 access
[SW3-Ethernet0/0/1]port default vlan 6 //将 接口加入到 vlan 6
[SW3-Ethernet0/0/1]quit

[SW3]interface Ethernet0/0/2 //SW3 与 PC2 的互联接口
[SW3-Ethernet0/0/2]port link-type access //配置链路类型为 access
[SW3-Ethernet0/0/2]port default vlan 8 //将 接口加入到 vlan 8
[SW3-Ethernet0/0/2]quit

[SW3]interface Ethernet0/0/13 //SW3 与 SW1 的互联接口
[SW3-Ethernet0/0/13]port link-type trunk //配置链路类型为 Trunk
[SW3-Ethernet0/0/13]port trunk allow-pass vlan all //设置 Trunk 允许所有 vlan
[SW3-Ethernet0/0/13]quit

[SW3]interface Ethernet0/0/22 //SW3 与 SW2 的互联接口
[SW3-Ethernet0/0/22]port link-type trunk //配置链路类型为 Trunk
[SW3-Ethernet0/0/22]port trunk allow-pass vlan all //设置 Trunk 允许所有 vlan
[SW3-Ethernet0/0/22]quit

3)配置SW1
system-view //进入系统视图
[Huawei]sysname SW1 //修改设备名称为 SW1
[SW1] vlan batch 6 8 //批量创建 vlan 6 和 vlan 8

[SW1]interface GigabitEthernet0/0/13 //SW1 与 SW3 的互联接口
[SW1-GigabitEthernet0/0/13]port link-type trunk //配置链路类型为 Trunk
[SW1-GigabitEthernet0/0/13]port trunk allow-pass vlan all //设置允许所有 vlan通过
[SW1-GigabitEthernet0/0/13]quit

4)配置SW2
system-view //进入系统视图
[Huawei]sysname SW2 //修改设备名称为 SW2
[SW2] vlan batch 6 8 //批量创建 vlan 6 和 vlan 8

[SW2]interface GigabitEthernet0/0/22 //SW2 与 SW3 的互联接口
[SW2-GigabitEthernet0/0/22]port link-type trunk //配置链路类型为 Trunk
[SW2-GigabitEthernet0/0/22]port trunk allow-pass vlan all //设置允许所有 vlan通过
[SW2-GigabitEthernet0/0/22]quit

5)配置SW1上 vlan 6 的 VRRP(主网关)
[SW1]interface Vlanif 6 //进入 vlan 6 的网关接口
[SW1-Vlanif6]ip add 192.168.6.251 24 //配置 vlan 6 的真实网关IP地址
[SW1-Vlanif6]vrrp vrid 6 virtual-ip 192.168.6.254 //配置 vlan 6 的虚拟网关IP地址
[SW1-Vlanif6]vrrp vrid 6 priority 150 //配置 vlan 6 的 vrrp 优先级
[SW1-Vlanif6]quit

6)配置SW2上 vlan 6 的 VRRP(备份网关)
[SW2]interface Vlanif 6 //进入 vlan 6 的网关接口
[SW2-Vlanif6]ip add 192.168.6.252 24 //配置 vlan 6 的真实网关IP地址
[SW2-Vlanif6]vrrp vrid 6 virtual-ip 192.168.6.254 //配置 vlan 6 的虚拟网关IP地址
[SW2-Vlanif6]vrrp vrid 6 priority 130 //配置 vlan 6 的 vrrp 优先级
[SW2-Vlanif6]quit

7)配置SW2上 vlan 8 的 VRRP(主网关)
[SW2]interface Vlanif 8 //进入 vlan 8 的网关接口
[SW2-Vlanif8]ip add 192.168.8.252 24 //配置 vlan 8 的真实网关IP地址
[SW2-Vlanif8]vrrp vrid 8 virtual-ip 192.168.8.254 //配置 vlan 8 的虚拟网关IP地址
[SW2-Vlanif8]vrrp vrid 8 priority 150 //配置 vlan 8 的 vrrp 优先级
[SW2-Vlanif8]quit

8)配置SW1上 vlan 8 的 VRRP(备份网关)
[SW1]interface Vlanif 8 //进入 vlan 8 的网关接口
[SW1-Vlanif8]ip add 192.168.8.251 24 //配置 vlan 8 的真实网关IP地址
[SW1-Vlanif8]vrrp vrid 8 virtual-ip 192.168.8.254 //配置 vlan 8 的虚拟网关IP地址
[SW1-Vlanif8]vrrp vrid 8 priority 130 //配置 vlan 8 的 vrrp 优先级
[SW1-Vlanif8]quit

9)查看 VRRP 信息
[SW1]display vrrp brief //vlan 6的主网关,vlan 8 的备份网关
VRID State Interface Type Virtual IP
————————————————————————————————
6 Master Vlanif6 Normal 192.168.6.254
8 Backup Vlanif8 Normal 192.168.8.254
————————————————————————————————
Total:2 Master:1 Backup:1 Non-active:0

[SW2]display vrrp brief //vlan 8的主网关,vlan 6 的备份网关
VRID State Interface Type Virtual IP
————————————————————————————————
6 Backup Vlanif6 Normal 192.168.6.254
8 Master Vlanif8 Normal 192.168.8.254
————————————————————————————————
Total:2 Master:1 Backup:1 Non-active:0

4 案例4:配置浮动路由

4.1 问题

  1. 配置接口IP地址
  2. 配置浮动路由,实现链路的冗余
  3. 验证浮动路由的效果

    4.2 方案

    使用eNSP搭建实验环境,如图-4所示。
    TCNE DAY01 - 图4
    图-4

    4.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置终端设备 PC1 和 PC2
    PC1 IP 地址:
    192.168.1.1
    255.255.255.0
    192.168.1.254
    PC2 IP 地址:
    192.168.4.1
    255.255.255.0
    192.168.4.254

2)配置网络设备 – SW1
system-view //进入系统视图
[Huawei]sysname SW1 //修改设备名称为 SW1
[SW1] vlan 10 //创建 vlan 10
[SW1-vlan10]quit

[SW1]interface GigabitEthernet 0/0/1 //SW1 与 R1 的互联接口
[SW1-GigabitEthernet0/0/1]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/1]port default vlan 10 //将端口加入 vlan 10
[SW1-GigabitEthernet0/0/1]quit

[SW1]interface gi0/0/2 //SW1 与 PC1 的互联接口
[SW1-GigabitEthernet0/0/2]port link-type access //配置链路类型为 access
[SW1-GigabitEthernet0/0/2]port default vlan 10 //将端口加入 vlan 10
[SW1-GigabitEthernet0/0/2]quit

3)配置网络设备 – SW2
system-view //进入系统视图
[Huawei]sysname SW2 //修改设备名称为 SW2
[SW2] vlan 40 //创建 vlan 40
[SW2-vlan40]quit

[SW2]interface GigabitEthernet 0/0/1 //SW2 与 R2 的互联接口
[SW2-GigabitEthernet0/0/1]port link-type access //配置链路类型为 access
[SW2-GigabitEthernet0/0/1]port default vlan 40 //将端口加入 vlan 40
[SW2-GigabitEthernet0/0/1]quit

[SW2]interface gi0/0/2 //SW2 与 PC2 的互联接口
[SW2-GigabitEthernet0/0/2]port link-type access //配置链路类型为 access
[SW2-GigabitEthernet0/0/2]port default vlan 40 //将端口加入 vlan 40
[SW2-GigabitEthernet0/0/2]quit

4)配置网络设备 – R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //PC-1的网关接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]quit

[R1]interface GigabitEthernet 0/0/1 //R1-R2之间的主链路
[R1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[R1-GigabitEthernet0/0/1]quit

[R1]interface GigabitEthernet 0/0/2 //R1-R2之间的备份链路
[R1-GigabitEthernet0/0/2]ip address 192.168.3.1 24
[R1-GigabitEthernet0/0/2]quit

5)配置网络设备 - R2
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0 //PC-2的网关接口
[R2-GigabitEthernet0/0/0]ip address 192.168.4.254 24
[R2-GigabitEthernet0/0/0]quit

[R2]interface GigabitEthernet 0/0/1 //R2-R1之间的主链路
[R2-GigabitEthernet0/0/1]ip address 192.168.2.2 24
[R2-GigabitEthernet0/0/1]quit

[R2]interface GigabitEthernet 0/0/2 //R2-R1之间的备份链路
[R2-GigabitEthernet0/0/2]ip address 192.168.3.2 24
[R2-GigabitEthernet0/0/2]quit

6)配置浮动静态路由 - R1
[R1]ip route-static 192.168.4.0 255.255.255.0 192.168.2.2 //主链路对应的路由
[R1]ip route-static 192.168.4.0 255.255.255.0 192.168.3.2 preference 100
//备份链路对应的路由

7)配置浮动静态路由 - R2
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 //主链路对应的路由
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 preference 100
//备份链路对应的路由

8)测试
PC-1:
Ping 192.168.4.1 -t //一直向 192.168.4.1 发送 ping 包
- 可以访问成功,R1使用的主链路对应的路由条目
- 断开 R1 的 Gi0/0/1 接口,依然可以访问成功;使用的是备份链路对应路由条目

5 案例5:配置基本ACL

5.1 问题

  1. 如图配置IP地址
  2. 禁止 PC1 网络访问服务器 Server1
  3. 允许其他所有的访问流量

    5.2 方案

    搭建实验环境,如图-5所示。
    TCNE DAY01 - 图5
    图-5

    5.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置终端设备 - PC1
    地址: 192.168.1.1
    掩码: 255.255.255.0
    网关: 192.168.1.254

2)配置终端设备 - PC2
地址: 192.168.2.1
掩码: 255.255.255.0
网关: 192.168.2.254

3)配置终端设备 - Server1
地址: 192.168.100.1
掩码: 255.255.255.0
网关: 192.168.100.254

4)配置网络设备 - R1
system-view //进入系统模式
[Huawei]sysname R1 //更改设备名称
[R1]interface gi0/0/1 //连接 PC1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 //配置IP地址
[R1-GigabitEthernet0/0/1]quit
[R1]interface gi0/0/2 //连接 PC2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 //配置 IP 地址
[R1-GigabitEthernet0/0/2]quit

5)配置 ACL
[R1]acl 2000 //创建基本 ACL
[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.0 //拒绝源为 PC1的流量
[R1-acl-basic-2000]quit
[R1]interface g0/0/0 //连接 Server1 的接口
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //调用在端口的出方向
[R1-GigabitEthernet0/0/0]quit

6)测试
display acl all //查看设备上所有的 ACL
display acl 2000 //查看 ACL 2000 的内容
PC1不能ping通Server1
PC2可以ping通Server1
PC1可以ping通 PC2

6 案例6:配置高级ACL

6.1 问题

  1. 如图配置IP地址
  2. 允许Client1访问Server1的Web服务
  3. 允许Client1 访问网络 192.168.2.0/24
  4. 禁止Client1 访问其他网络

    6.2 方案

    搭建实验环境,如图-6所示。
    TCNE DAY01 - 图6
    图-6

    6.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置终端设备 - Client1
    地址:192.168.1.1
    掩码:255.255.255.0
    网关:192.168.1.254

2)配置终端设备 - PC1
地址:192.168.2.1
掩码:255.255.255.0
网关:192.168.2.254

3)配置终端设备 - Server1
地址:192.168.3.1
掩码:255.255.255.0
网关:192.168.3.254
配置 HTTP 服务

4)配置网络设备 - R1
system-view //进入系统模式
[Huawei]sysname R1 //更改设备名称

[R1]interface gi0/0/2 //连接 Client1
[R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/2] quit

[R1]interface gi0/0/0 //连接 R2的接口
[R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
[R1-GigabitEthernet0/0/0] quit

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由

5)配置网络设备 - R2
system-view //进入系统模式
[Huawei]sysname R2 //更改设备名称

[R2]interface gi0/0/2 //连接 PC1
[R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[R2-GigabitEthernet0/0/2] quit

[R2]interface gi0/0/1 //连接 R1 的接口
[R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
[R2-GigabitEthernet0/0/1] quit

[R2]interface gi0/0/0 //连接 R3 的接口
[R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/0] quit

[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往Client1的网段
[R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往Server1的网段

6)配置网络设备 - R3
system-view //进入系统模式
[Huawei]sysname R3 //更改设备名称
[R3]interface gi0/0/2 //连接 Server1
[R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
[R3-GigabitEthernet0/0/2] quit

[R3]interface gi0/0/1 //连接 R2 的接口
[R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/1] quit

[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由

7)配置控制策略并调用
[R1]acl 3000 //创建高级ACL
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.3.1
0 destination-port eq 80 //允许 Client1 到 Server1 的 web 流量
[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.2.0
0.0.0.255 //允许 Client1 到 PC1 网段的所有流量
[R1-acl-adv-3000]rule 15 deny ip source 192.168.1.1 0 destination any
//拒绝所有其他流量
[R1-acl-adv-3000]quit

[R1]interface gi0/0/2 //Client1 的网关接口
[R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //接口的入向调用ACL

8)测试
Client1可以通过 HTTP 客户端访问Server1的网页(web服务)
Client1可以ping通网络192.168.2.0/24 中的 PC1
Client1不能ping通网络192.168.3.0/24,以及其他网段,比如192.168.12.0 中的接口地址