HEC-acl

 

 

 

 

路由不变，还是按照静态的形式添加的

H3C的acl和其它厂商大致相同，无非就是多了一个单词而已

Advanced 高级acl
Basic 标准acl

现需求如下，
R1的loopback接口无法访问R3的全部，但是物理接口可以
R3的所有接口可以访问R1的telnet 但是不能icmp 请求，

如何来操作呢？
可以直接在R2上操作
思路就不用说了吧，

需求1
[r2]acl basic 2000
[r2-acl-ipv4-basic-2000]rule 5 deny source 1.1.1.1 0
[r2-acl-ipv4-basic-2000]rul 10 per source any //其实这条不写也可以，因为默认就是允许所有的
接口挂接
此时应该挂在哪里呢？三处可以挂，
1 R2的进口方向
2 R2的出口方向
3 R1的出口方向
我选择在R2上的进口方向 ，因为我在R2上配置的ACL
[r2]inter g0/0
[r2-GigabitEthernet0/0]packet-filter 2000 inbound

然后就是查看效果

 

 

 

可以看到第一个，直接使用物理接口去ping 完全没有问题
但第二个，加上源，就不行了，
再到R2上查看一下ACL的匹配情况

 

 可以看到两个条件都有匹配到，

看来是生效了

需求2
R3的所有接口可以访问R1的telnet 但是不能icmp 请求，
这个牵扯到了具体的协议 ，那么就要用支扩展ACL了
[r2]acl advanced 3000
[r2-acl-ipv4-adv-3000]rule 5 deny icmp source 3.3.3.3 0 destination 1.1.1.1 0 icmp-type echo
[r2-acl-ipv4-adv-3000]rule 10 deny icmp source 23.0.0.3 0 des 1.1.1.1 0 icmp-type echo
[r2-acl-ipv4-adv-3000]rule 15 deny icmp source 3.3.3.3 0 des12.0.0.1 0 icmp-type echo
[r2-acl-ipv4-adv-3000]rul 20 deny icmp source 23.0.0.3 0 des 12.0.0.1 0 icmp-type echo
[r2-acl-ipv4-adv-3000]inter g0/1
[r2-GigabitEthernet0/1]packet-filter 3000 inbound
验证效果

 

 

可以看到都不通了
在R2上查看ACL的匹配项，也的确有数值在增加

 

 测试telnet 也没有问题