高級ACL的配置與思路

目的：
1）允許Client1訪問Server1的Web服務
2）允許Client1 訪問網絡 192.168.2.0/24
3）禁止Client1 訪問其他網絡

R1配置
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24--------爲此接口配置IP地址
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24
[Huawei]ip route-static 0.0.0.0 0 192.168.10.2-------------添加默認路由
[Huawei]acl 3000-----------------------創建高級acl
[Huawei-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80---------------允許 Client1 到 Server1 的 web 流量
[Huawei-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255 -----------------------允許 Client1 到 PC1 網段的所有流量
[Huawei-acl-adv-3000]rule 15 deny ip source 192.168.1.1 0 destination any ---------------------------拒絕Client1 de 所有其他流量
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000-----------------在此接口啓用acl3000

R2配置
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.2 24--------爲此接口配置IP地址
[Huawei-GigabitEthernet0/0/2]ip address 192.168.20.1 24
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.254 24
[Huawei]ip route-static 192.168.1.0 24 192.168.10.1-------------添加靜態路由
[Huawei]ip route-static 192.168.3.0 24 192.168.20.2

R3配置
[Huawei-GigabitEthernet0/0/0]ip address 192.168.3.254 24--------爲此接口配置IP地址
[Huawei-GigabitEthernet0/0/1]ip address 192.168.20.2 24
[Huawei]ip route-static 0.0.0.0 0 192.168.20.1-------------添加默認路由

終端配置
Client1：
IP地址：192.168.1.1/24
網關：192.168.1.254

PC1：
IP地址：192.168.2.1/24
網關：192.168.2.254

Server1：
IP地址：192.168.3.1/24
網關：192.168.3.254

ACL的作用：
匹配數據包，實現數據包的控制
ACL的工作原理：
一個ACL可以同時包含多個條目(rule)
在進行ACL的檢查的時候，按照 rule 號碼的大小，從小到大依次檢查
如果第一個 rule 能匹配，就不會檢查後續的其他 rule 。

ACL的特點： 1.ACL對設備本身發起的流量是不起作用的； 2.ACL 與 traffic-filter 結合使用時，