华为-ACL访问控制列表

小雪崩

　　ACL：access list  访问控制列表
　　acl 两种：
　　基本acl（2000-2999）：只能匹配源ip地址。
　　高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
　　四个注意事项：
　　注1：一个接口的同一个方向，只能调用一个acl
　　注2：一个acl里面可以有多个rule 规则，从上往下依次执行
　　注3：数据包一旦被某rule匹配，就不再继续向下匹配
　　注4: 用来做数据包访问控制时，默认隐含放过所有（华为设备）
　　ACL 两种作用：
　　①   用来对数据包做访问控制（丢弃或者放行）
　　②   结合其他协议，用来匹配范围

　　配置静态路由使全网互通：
　　

R1：ip route-static 172.16.10.0 24 12.1.1.2　　
R2：ip route-s 192.168.10.0 24 12.1.1.1
　　

　　需求一：在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。
　　R2:
　　

acl number 2000    创建acl 2000　　
rule  deny source 192.168.10.1    0   拒绝源地址为192.168.10.1 的流量
　　
int gi 0/0/1
　　
traffic-filter outbound acl 2000   接口下出方向调用acl 2000
　　

　　inbound：进入方向 站在路由器的角度考虑  数据包进入路由器“肚子”里面的时候
　　outbound：出方向  站在路由器的角度考虑  数据包从路由器的？肚子"向外发出时
　　调试命令：查看acl是否生效 （matches 数量）

　　匹配了15个报文，拒绝了15个报文
　　需求二：在R2上配置高级acl 拒绝PC1所在的网段  ping server1,但是允许其HTTP 访问server1
　　R2:
　　acl  3000  
　　rule  deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
　　int gi0/0/1
　　traffic-filter outbound acl 3000
　　拒绝① 源地址为192.168.10.0/24 且② 目标地址为172.16.10.2 且是③ icmp的包 （注意：三个条件①②③ 同时被满足才可以被拒绝掉）
　　acl 工作原理：当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理。
　　需求三：在R2上配置高级acl 拒绝PC1所在网段  http 访问server1,但是允许其 ping server。
　　R2:
　　

acl number 3001　　
rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 destination-port eq 80
　　
int gi 0/0/1
　　
traffic-filter outbound acl 3001
　　

　　acl 举例：拒绝源地址192.168.10.2 telnet 访问12.0.0.2
　　

acl  3000    rule 5 deny tcp source 192.168.10.2  0 destination 12.0.0.2  0 destination-port eq  telnet 　　

　　acl举例：拒绝所有的报文
　　

acl number 3006　　
rule 5 deny ip
　　

　　注意：acl 不能拒绝路由器自己触发产生的报文。
　　可选配置：只允许12.1.1.5 远程telnet
　　

acl   2000　　
rule  permit source 12.1.1.5    0
　　
rule  deny
　　

user-interface vty 0 4　　
acl 2000 inbound