华为ACL

jydg

　　实验环境
　　标准ACL:

　　实验1:1.vlan10和vlan20不能互相访问，但可以上网
　　2.vlan10的真实机不能上网，其他不受影像
　　1.
　　[AR1]acl 2001
　　[AR1-acl-basic-2001]rule deny source 192.168.10.0 0.0.0.255 拒绝10.0网段
　　[AR1-acl-basic-2001]rule permit source any   允许所有网段
　　[AR1-GigabitEthernet0/0/1.2]traffic-filter outbound acl  2001 将ACL应用到端口
　　2.
　　[AR1]acl 2000
　　[AR1-acl-basic-2000]rule  deny  source  192.168.10.10 0.0.0.0
　　[AR1-acl-basic-2000]rule permit  source any
　　[AR1-GigabitEthernet0/0/0]traffic-filter outbound  acl 2000
　　[AR1]display acl all查看所匹配的包

　　实验2: 1.Vlan10和20之间不能互相访问
　　2.vlan10中的C3和vlan20中的C4可以通信
　　3.Vlan10中的C1主机不可以打开网页，其他服务不影响，所有员工不能在公司上淘宝。
　　1.
　　[AR1]acl 3000
　　[AR1-acl-adv-3000]rule deny  ip source  192.168.10.0 0.0.0.255 destination 192.16
　　8.20.0 0.0.0.255    拒绝10 网段访问20网段，因为访问是相互的 所以20也无法访问10网段。
　　2.
　　[AR1-acl-adv-3000]rule  4 permit  ip source  192.168.10.3 0.0.0.0 destination 19
　　2.168.20.2 0.0.0.0
　　3.
　　[AR1-acl-adv-3000]rule deny  tcp  source 192.168.10.2 0.0.0.0  destination any  d
　　estination-port eq 80
　　3.2：[AR1-acl-adv-3000]rule deny ip source any destination 119.84.77.123 0.0.0.0
　　[AR1-acl-adv-3000]rule permit  ip source  any
　　分析：当acl生效时
　　匹配2允许10.3访问20.2，
　　匹配1拒绝vlan10访问vlan20。
　　匹配3拒绝10.2上网，
　　匹配3.2不能上淘宝
　　最后一条允许通过。
　　注意：可以把常用的规则在不影像下一条的情况下，写在前面，这样可以优化acl的性能。
　　例如：局域网互访的情况比较少，而大家上网的情况比较多 则可以把上网限制的规则写到最前         面。以避免数据包每次都逐一匹配。
　　扩展列表应用到进口的原则。
　　[AR1-GigabitEthernet0/0/1.1]traffic-filter inbound acl 3000
　　[AR1-GigabitEthernet0/0/1.2]traffic-filter inbound acl 3000
　　----------------------------------------------------------------
　　命名ACL和基于时间ACL应用实战
　　命名ACL只是ACL的另一种写法
　　1.   所有员工上班时间不能上网，其他时间可以。
　　2.   路由器AR1只能被AR2远程管理
　　1.
　　time-range:
　　[AR1]time-range no-www 8:30 to 11:30 working-day 定义上午工作时间，取名为no-www
　　[AR1]time-range no-www 13:30 to 17:30 working-day定义下午工作时间
　　[AR1]display  time-range all 查看配置的相关信息
　　修改设备时间：
　　[AR1]dis clock 查看设备时间
　　<AR1>clock timezone bj add 8   8是时间区
　　<AR1>clock datetime 11:16:00 2017-05-01
　　[AR1]acl name test advance 创建一个acl取名为test
　　[AR1-acl-adv-test]rule deny  tcp source any  destination-port  eq www  time-range
　　nowww 上班时间不允许上网
　　[AR1-acl-adv-test]rule permit  ip
　　[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl name test
　　2.
　　[AR1-acl-basic-2000]rule  permit source 12.0.0.2 0 标准列表只允许这个地址通过
　　[AR1]user-interface  vty 0 4
　　[AR1-ui-vty0-4]acl  2000 inbound 只有12.0.0.2 能够登陆
　　[AR2]telnet client-source -a202.101.1.1 更改telnet的源地址
　　Telent 只能应用最基本的标准列表。