华为路由配置 ACL

ACL（access control list）：访问控制列表

基本ACL（2000~2999）：只能匹配源IP

高级ACL（3000~3999）：可以匹配源IP，目标IP，源端口，目标端口，网络协议等

网络拓扑图如下：【先打通1.1.1.0~8.8.8.0网络之间互通，配置ACL之前先保证两个网段之间互通，交换机不配置直接当傻瓜交换机使】

基本ACL举例：拒绝Client 1访问8.8.8.X网段

[R2]acl 2000    #创建ACL 2000
[R2-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0    #拒绝1.1.1.1这个IP访问，如果反掩码使用0.0.0.255代表拒绝1.1.1.X这个网段
[R2-acl-basic-2000]quit    #退出
[R2]interface GigabitEthernet 0/0/0    #进入g0/0/0接口
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000    #在接口下调用ACL规则，拒绝进方向源IP为1.1.1.1数据包通过

　　也可在R1上配置ACL实现相同功能

　　　　[R1]acl 2000　　#创建ACL 2000

　　　　[R1-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0　　　　#创建规则拒绝源IP为1.1.1.1

　　　　[R1-acl-basic-2000]quit 　　#退出

　　　　[R1]interface GigabitEthernet 0/0/1　　#进入g0/0/1

　　　　[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000　　#拒绝进方向源IP为1.1.1.1数据包通过

　　或者在R1的出口方向调用ACL也行

　　　　[R1]interface gig0/0/0　　进入g0/0/0接口

　　　　[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000　　#出口方向调用ACL

---

高级ACL举例：拒绝Client 1和PC2 ping 8.8.8.X网段，但允许其http访问8.8.8.X网段

[R2]acl 3000        #创建高级ACL 3000
[R2-acl-adv-3000]rule deny icmp source 1.1.1.0 0.0.0.255 destination 8.8.8.0 0.0.0.255    #拒绝1.1.1.X网段通过ICMP协议ping 8.8.8.0网段
[R2-acl-adv-3000]quit     #退出
[R2]interface GigabitEthernet 0/0/0    #进入g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000    #调用acl 3000

高级ACL举例：拒绝PC 2 Telnet R2

[R2]acl 3001    #创建acl 3001
[R2-acl-adv-3001]rule deny tcp source 1.1.1.2 0.0.0.0 destination 5.5.5.2 0.0.0.0 destination-port eq  telnet    #拒绝源IP为1.1.1.2 Telnet 5.5.5.2
[R2-acl-adv-3001]quit    #退出
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001    #在接口下调用ACL 3001

ACL需要注意以下事项：

• 一个接口的同一个方向，只能调用一个ACL规则
• 一个ACL中可以有多个rule规则，从上往下依次执行
• 数据包一旦被某条rule匹配，就不再继续向下匹配
• 华为交换机的acl用来拒绝数据包时【默认是放行所有规则】