華爲-ACL訪問控制列表

ACL：access list 訪問控制列表

acl 兩種：
基本acl（2000-2999）：只能匹配源ip地址。
高級acl（3000-3999）：能夠匹配源ip、目標ip、源端口、目標端口等三層和四層的字段。

四個注意事項：
注1：一個接口的同一個方向，只能調用一個acl
注2：一個acl裏面能夠有多個rule 規則，從上往下依次執行
注3：數據包一旦被某rule匹配，就再也不繼續向下匹配
注4: 用來作數據包訪問控制時，默認隱含放過全部（華爲設備）

ACL 兩種做用：
① 用來對數據包作訪問控制（丟棄或者放行）
② 結合其餘協議，用來匹配範圍

配置靜態路由使全網互通：

R1：ip route-static 172.16.10.0 24 12.1.1.2 
R2：ip route-s 192.168.10.0 24 12.1.1.1

需求一：在R2配置基本acl 拒絕PC1 訪問172.16.10.0 網絡。
R2:

acl number 2000    建立acl 2000    
rule  deny source 192.168.10.1    0   拒絕源地址爲192.168.10.1 的流量
int gi 0/0/1
traffic-filter outbound acl 2000   接口下出方向調用acl 2000

inbound：進入方向 站在路由器的角度考慮 數據包進入路由器「肚子」裏面的時候
outbound：出方向 站在路由器的角度考慮 數據包從路由器的？肚子"向外發出時

調試命令：查看acl是否生效 （matches 數量）

匹配了15個報文，拒絕了15個報文

需求二：在R2上配置高級acl 拒絕PC1所在的網段 ping server1,可是容許其HTTP 訪問server1

R2:
acl 3000
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
int gi0/0/1
traffic-filter outbound acl 3000

拒絕① 源地址爲192.168.10.0/24 且② 目標地址爲172.16.10.2 且是③ icmp的包 （注意：三個條件①②③ 同時被知足才能夠被拒絕掉）
acl 工做原理：當數據包從接口通過時，因爲接口啓用了acl，此時路由器會對報文進行檢查，而後作出相應的處理。

需求三：在R2上配置高級acl 拒絕PC1所在網段 http 訪問server1,可是容許其 ping server。

R2:

acl number 3001       
rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 destination-port eq 80
int gi 0/0/1    
traffic-filter outbound acl 3001

acl 舉例：拒絕源地址192.168.10.2 telnet 訪問12.0.0.2

acl  3000    rule 5 deny tcp source 192.168.10.2  0 destination 12.0.0.2  0 destination-port eq  telnet

acl舉例：拒絕全部的報文

acl number 3006      
rule 5 deny ip

注意：acl 不能拒絕路由器本身觸發產生的報文。

可選配置：只容許12.1.1.5 遠程telnet

acl   2000
rule  permit source 12.1.1.5    0  
rule  deny

user-interface vty 0 4  
acl 2000 inbound