在学习ACL（访问控制列表）之前首先要理解一下三个问题：

一、ACL的作用，以及不同类型的ACL的区别是什么？

ACL的作用是：匹配感兴趣的数据包。

ACL分为基本ACL和 高级ACL，

基本ACL，只能匹配数据包的源IP地址，匹配数据不精准；

高级ACL，可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号，匹配数据包更加精准。

二、基本ACL和高级ACL在应用过程中的最佳调用位置：

基本ACL，匹配数据不精准，所以调用在距离目标设备近的端口上；

高级ACL，匹配数据精准，所以调用在距离源设备近的端口上；

三、ACL 的工作原理：

使用ACL在匹配数据包的过程中，会按照 rule 的号码从小到大依次匹配。

如果能匹配成功，则后续的条目不再进行检查；

如果匹配不成功，则继续匹配下面的 rule ；

如果所有的 rule 都没有匹配成功，则执行ACL最后一个隐含的条目

如果 acl 和 traffic-filter 结合使用，acl最后隐含的条目是：允许所有

如果 acl 和 其他工具结合在一起使用，acl 最后隐含的条目是：拒绝所有

下面是acl的经典案例（附ensp模拟器的配置命令），有兴趣的同学可以照着做几遍，基本就能够理解ACL的原理和用处了。

Top

1. 理解ACL原理与类型
2. 基本ACL配置
3. 高级ACL配置
4. 高级ACL之ICMP
5. 高级ACL之Telnet

1 理解ACL原理与类型

1.1 需求

1）如图配置IP地址

2）PC1不能访问 Server

3）PC2允许访问 Server

4）允许其他所有的访问流量

1.2 方案

搭建实验环境，如图-1所示。

图-1

1.3 步骤

实现此案例需要按照如下步骤进行。

1）配置终端设备 - PC1

地址: 192.168.1.1

掩码: 255.255.255.0

网关: 192.168.1.254

2）配置终端设备 - PC2

地址: 192.168.2.1

掩码: 255.255.255.0

网关: 192.168.2.254

3）配置终端设备 - Server

地址: 192.168.100.1

掩码: 255.255.255.0

网关: 192.168.100.254

4）配置网络设备 - R1

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R1//更改设备名称
3. [R1]interface gi0/0/1 //连接 PC1
4. [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 //配置IP地址
5. [R1-GigabitEthernet0/0/1]quit
6. [R1]interface gi0/0/2 //连接 PC2
7. [R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 //配置 IP 地址
8. [R1-GigabitEthernet0/0/2]quit

5）配置 ACL

1. [R1]acl 2000 //创建基本 ACL
2. [R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.255 //拒绝源为 PC1的流量
3. [R1-acl-basic-2000]quit
4. [R1]interface g0/0/0 //连接 Server1 的接口
5. [R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //调用在端口的出方向
6. [R1-GigabitEthernet0/0/0]quit

6）测试

1. display acl all //查看设备上所有的 ACL
2. display acl 2000 //查看 ACL 2000 的内容
3. PC1不能ping通Server1
4. PC2可以ping通Server1
5. PC1可以ping通 PC2

2 基本ACL配置

2.1 需求

1）如图配置IP地址

2）不允许“售后服务部”以任何的方式访问“财务部”服务器

3）售后服务器可以访问网络的任何其他设备

2.2 方案

搭建实验环境，如图-2所示。

图-2

2.3 步骤

实现此案例需要按照如下步骤进行。

1）配置终端设备 – PC1

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

2）配置终端设备 – PC2

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

3）配置终端设备 – 财务服务器

地址：192.168.3.1

掩码：255.255.255.0

网关：192.168.3.254

4）配置网络设备 - R1

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R1//更改设备名称
3. [R1]interface gi0/0/1 //连接 Client1
4. [R1-GigabitEthernet0/0/1] ip address 192.168.1.254 24
5. [R1-GigabitEthernet0/0/1] quit
6. [R1]interface gi0/0/0 //连接 R2的接口
7. [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
8. [R1-GigabitEthernet0/0/0] quit
9. [R1]ip route-static 192.168.2.0 24 192.168.12.2 //去往PC2的路由条目
10. [R2]ip route-static 192.168.3.0 24 192.168.12.2 //去往财务服务器的路由

5）配置网络设备 - R2

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R2//更改设备名称
3. [R2]interface gi0/0/1 //连接 PC2
4. [R2-GigabitEthernet0/0/1] ip address 192.168.2.254 24
5. [R2-GigabitEthernet0/0/1] quit
6. [R2]interface gi0/0/0 //连接 R1 的接口
7. [R2-GigabitEthernet0/0/0] ip address 192.168.12.2 24
8. [R2-GigabitEthernet0/0/0] quit
9. [R2]interface gi0/0/2 //连接 服务器 的接口
10. [R2-GigabitEthernet0/0/2] ip address 192.168.3.254 24
11. [R2-GigabitEthernet0/0/2] quit
12. [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往PC1的网段

6）配置网络设备 – SW1

1. <Huawei>undo terminal monitor
2. <Huawei>sysname SW1
3. [SW1]vlan 10
4. [SW1-vlan10]quit
5. [SW1]interface GigabitEthernet 0/0/1
6. [SW1-GigabitEthernet0/0/1]port link-type access
7. [SW1-GigabitEthernet0/0/1]port default vlan 10
8. [SW1-GigabitEthernet0/0/1]quit
9. [SW1]interface GigabitEthernet 0/0/2
10. [SW1-GigabitEthernet0/0/2]port link-type access
11. [SW1-GigabitEthernet0/0/2]port default vlan 10
12. [SW1-GigabitEthernet0/0/2]quit

7）配置网络设备 – SW2

1. <Huawei>undo terminal monitor
2. <Huawei>sysname SW2
3. [SW2]vlan 20
4. [SW2-vlan20]quit
5. [SW2]interface GigabitEthernet 0/0/1
6. [SW2-GigabitEthernet0/0/1]port link-type access
7. [SW2-GigabitEthernet0/0/1]port default vlan 20
8. [SW2-GigabitEthernet0/0/1]quit
9. [SW2]interface GigabitEthernet 0/0/2
10. [SW2-GigabitEthernet0/0/2]port link-type access
11. [SW2-GigabitEthernet0/0/2]port default vlan 20
12. [SW2-GigabitEthernet0/0/2]quit

8）配置控制策略并调用

1. [R2]acl 2000 //创建基本ACL
2. [R2-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 //拒绝PC1的网段
3. [R2-acl-basic-2000]quit
4. [R2]interface GigabitEthernet 0/0/2
5. [R2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 //过滤出向流量
6. [R2-GigabitEthernet0/0/2]quit

3 高级ACL配置

3.1 需求

1）如图配置IP地址，配置路由，确保各设备互通

2）售后部仅仅能访问 Server1上的Web服务，不能访问其他服务

3）售后部可以访问行政部的所有设备的任何服务

4）除了上述权限外，售后部不能访问网络中的其他任何地方

3.2 方案

搭建实验环境，如图-3所示。

图-3

3.3 步骤

实现此案例需要按照如下步骤进行。

1）配置终端设备 – 售后服务部

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

2）配置终端设备 – 行政部

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

3）配置终端设备 – Web服务器

地址：192.168.3.1

掩码：255.255.255.0

网关：192.168.3.254

配置web服务：指定web服务器目录，启动 web 服务

4）配置网络设备 – R1

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R1//更改设备名称
3. [R1]interface gi0/0/2 //连接售后服务部
4. [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
5. [R1-GigabitEthernet0/0/2] quit
6. [R1]interface gi0/0/0 //连接 R2的接口
7. [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
8. [R1-GigabitEthernet0/0/0] quit
9. [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由

5）配置网络设备 – R2

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R2//更改设备名称
3. [R2]interface gi0/0/2 //连接 行政部
4. [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
5. [R2-GigabitEthernet0/0/2] quit
6. [R2]interface gi0/0/1 //连接 R1 的接口
7. [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
8. [R2-GigabitEthernet0/0/1] quit
9. [R2]interface gi0/0/0 //连接 R3 的接口
10. [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
11. [R2-GigabitEthernet0/0/0] quit
12. [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部的网段
13. [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段

6）配置网络设备 – R3

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R3//更改设备名称
3. [R3]interface gi0/0/2 //连接 Web服务器
4. [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
5. [R3-GigabitEthernet0/0/2] quit
6. [R3]interface gi0/0/1 //连接 R2 的接口
7. [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
8. [R3-GigabitEthernet0/0/1] quit
9. [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由

7）在 R1 上配置并调用 ACL

1. [R1] acl 3000
2. [R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
3. [R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
4. [R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
5. [R1] interface gi0/0/2
6. [R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //在该接口入向调用ACL

4 高级ACL之ICMP

4.1 需求

1）如图配置IP地址

2）售后部仅仅能 ping 通 Server1上，不能访问其他服务

3）售后部可以访问行政部的所有设备的任何服务

4）除了上述权限外，售后部不能访问网络中的其他任何地方

4.2 方案

搭建实验环境，如图-4所示。

图-4

4.3 步骤

实现此案例需要按照如下步骤进行。

1）配置终端设备 – 售后服务部

地址：192.168.1.1

掩码：255.255.255.0

网关：192.168.1.254

2）配置终端设备 – 行政部

地址：192.168.2.1

掩码：255.255.255.0

网关：192.168.2.254

3）配置终端设备 – Web服务器

地址：192.168.3.1

掩码：255.255.255.0

网关：192.168.3.254

配置web服务：指定web服务器目录，启动 web 服务

4）配置网络设备 – R1

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R1//更改设备名称
3. [R1]interface gi0/0/2 //连接售后服务部
4. [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
5. [R1-GigabitEthernet0/0/2] quit
6. [R1]interface gi0/0/0 //连接 R2的接口
7. [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
8. [R1-GigabitEthernet0/0/0] quit
9. [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由

5）配置网络设备 – R2

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R2//更改设备名称
3. [R2]interface gi0/0/2 //连接 行政部
4. [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
5. [R2-GigabitEthernet0/0/2] quit
6. [R2]interface gi0/0/1 //连接 R1 的接口
7. [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
8. [R2-GigabitEthernet0/0/1] quit
9. [R2]interface gi0/0/0 //连接 R3 的接口
10. [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
11. [R2-GigabitEthernet0/0/0] quit
12. [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部的网段
13. [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段

6）配置网络设备 – R3

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R3//更改设备名称
3. [R3]interface gi0/0/2 //连接 Web服务器
4. [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
5. [R3-GigabitEthernet0/0/2] quit
6. [R3]interface gi0/0/1 //连接 R2 的接口
7. [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
8. [R3-GigabitEthernet0/0/1] quit
9. [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由

7）在 R1 上配置并调用 ACL

1. [R1] acl 3000
2. [R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0
3. [R1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
4. [R1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0 destination any
5. [R1] interface gi0/0/2
6. [R1-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 //在该接口入向调用ACL

5 高级ACL之Telnet

5.1 需求

1）如图配置IP地址，配置路由，确保各设备互通

2）为了便于设备管理，为设备开启远程管理功能，登录密码：HCIE

3）仅仅允许 192.168.1.254 远程登录 R2，其他设备不可以

4）拒绝 R1的任何IP地址远程登录 R3，其他设备都可以

5.2 方案

搭建实验环境，如图-5所示。

图-5

5.3 步骤

实现此案例需要按照如下步骤进行。

1）配置终端设备 – 售后服务部

1. 地址：192.168.1.1
2. 掩码：255.255.255.0
3. 网关：192.168.1.254

2）配置终端设备 – 行政部

1. 地址：192.168.2.1
2. 掩码：255.255.255.0
3. 网关：192.168.2.254

3）配置终端设备 – Web服务器

1. 地址：192.168.3.1
2. 掩码：255.255.255.0
3. 网关：192.168.3.254
4. 配置web服务：指定web服务器目录，启动 web 服务

4）配置网络设备 – R1

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R1//更改设备名称
3. [R1]interface gi0/0/2 //连接售后服务部
4. [R1-GigabitEthernet0/0/2] ip address 192.168.1.254 24
5. [R1-GigabitEthernet0/0/2] quit
6. [R1]interface gi0/0/0 //连接 R2的接口
7. [R1-GigabitEthernet0/0/0] ip address 192.168.12.1 24
8. [R1-GigabitEthernet0/0/0] quit
9. [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //去往其他网段的默认路由

5）配置网络设备 – R2

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R2//更改设备名称
3. [R2]interface gi0/0/2 //连接 行政部
4. [R2-GigabitEthernet0/0/2] ip address 192.168.2.254 24
5. [R2-GigabitEthernet0/0/2] quit
6. [R2]interface gi0/0/1 //连接 R1 的接口
7. [R2-GigabitEthernet0/0/1] ip address 192.168.12.2 24
8. [R2-GigabitEthernet0/0/1] quit
9. [R2]interface gi0/0/0 //连接 R3 的接口
10. [R2-GigabitEthernet0/0/0] ip address 192.168.23.2 24
11. [R2-GigabitEthernet0/0/0] quit
12. [R2]ip route-static 192.168.1.0 255.255.255.0 192.168.12.1 //去往售后部门的网段
13. [R2]ip route-static 192.168.3.0 255.255.255.0 192.168.23.3 //去往服务器的网段
14. [R2]user-interface vty 0 4
15. [R2-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
16. Please configure the login password (maximum length 16):HCIE //配置密码为 HCIE

6）配置网络设备 – R3

1. <Huawei>system-view //进入系统模式
2. [Huawei]sysname R3//更改设备名称
3. [R3]interface gi0/0/2 //连接 Web服务器
4. [R3-GigabitEthernet0/0/2] ip address 192.168.3.254 24
5. [R3-GigabitEthernet0/0/2] quit
6. [R3]interface gi0/0/1 //连接 R2 的接口
7. [R3-GigabitEthernet0/0/1] ip address 192.168.23.3 24
8. [R3-GigabitEthernet0/0/1] quit
9. [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.23.2 //去往其他网段的默认路由
10. [R3]user-interface vty 0 4
11. [R3-ui-vty0-4]authentication-mode password //指定认证方式为密码认证
12. Please configure the login password (maximum length 16):HCIE //配置密码为 HCIE

7）在 R2 上配置并调用 ACL

1. [R2]acl 2000
2. [R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0
3. [R2-acl-basic-2000]quit
4. [R2]user-interface vty 0 4
5. [R2-ui-vty0-4]acl 2000 inbound
6. [R2-ui-vty0-4]quit

8）在 R3 上配置并调用 ACL

1. [R3]acl 2000
2. [R3-acl-basic-2000]rule 10 deny source 192.168.1.254 0
3. [R3-acl-basic-2000]rule 20 deny source 192.168.12.1 0
4. [R3-acl-basic-2000]rule 30 permit source any
5. [R3-acl-basic-2000]quit
6. [R3]user-interface vty 0 4
7. [R3-ui-vty0-4]acl 2000 inbound
8. [R3-ui-vty0-4]quit

访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet相关推荐

1. ACL（用访问控制列表实现包过滤）

   ACL概述: ACL(AccessControlList,访问控制列表)是用来实现数据包识别功能的 ACL可以应用于诸多方面 →包过滤防火墙功能 →NAT(NetworkAddressTranslat ...

2. 访问控制列表（ACL）

   更多文章请移步:www.yanjun.pro 1.访问控制列表(ACL)简介 1.1.ACL 概述 访问控制列表 ACL(Access Control List)是由一条或多条规则组成的集合.所谓规则 ...

3. ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。

   目录 ACL的组成: 创建ACL访问控制列表的两种的方式: 1.数字命名: 2.字符串命名方式: ACL创建步骤: 1.先创建ACL列表: 进入acl列表: 2.配置ACL的一条条规则: 3.进入需要 ...

4. Linux 访问文件的acl信息,linux文件权限管理与ACL访问控制列表

   一.文件属性 1.文件属性: 文件属性操作 chown : change owner  ,设置文件所有者 chgrp : change group  ,设置文件的属组 文件属主修改: chown 格式 ...

5. linux怎么给目录创建acl,LINUX-ACL文件访问控制列表

   在 Linux下,对一个文件(或者资源)可以进行操作的对象被分为三类: file owner(文件的拥有者),group(组,可以不是文件拥有者所在的组), other (其他)而对于每一类别又分别定 ...

6. linux源码acl,Linux自主访问控制机制模块详细分析之posix_acl.c核心代码注释与acl.c文件介绍...

   原标题:Linux自主访问控制机制模块详细分析之posix_acl.c核心代码注释与acl.c文件介绍 2.4.4.6 核心代码注释 1 posix_acl_permission() int(stru ...

7. setfacl 权限导出_Linux命令——setfacl 文件访问控制列表

   setfacl Linux命令--setfacl 命令名 setfacl- 设置文件访问控制列表 setfacl,顾名思义就是设置文件的ACL规则. 而Acl(Access Control List) ...

8. ACL访问控制列表（访问控制、抓取感兴趣流）详解及基本ACL和高级ACL的配置。

   ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...

9. 新手必看的ACL基本访问控制列表及高级访问控制列表

   [温馨提示]需要资料或者需要进群交流划到最底部 ACL原理 ACL是什么 为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过.这些规则就是通过访问控制列表(Acces ...

最新文章

1. Atlas study:使用Accordion实现页面多个块状区域的显隐
2. VTK：可视化算法之FireFlow
3. （转）标准I/O缓冲：全缓冲、行缓冲、无缓冲 .
4. Keil综合（03）map文件全解析
5. 硬件基础知识---（12) PCB的生产流程
6. android让图片旋转
7. 设置控件输入的输入方式
8. WPF Name与x:Name 使用
9. java 生成kml 文件
10. 会计软件属于什么计算机软件,会计核算软件属于什么_会计从业资格先学什么...
11. ESP8266学习笔记（7）——JSON接口使用
12. idea配置tomcat热部署
13. 学校面试计算机老师试题及答案,计算机面试问题及答案 (共2篇).doc
14. 华为HCIE认证改版(2021年5月30日正式改版升级)
15. 软件定义的网络（下）
16. PageHelper这种情况下有坑
17. 候选码主属性非主属性
18. python有什么好玩的库_python有什么好玩的库
19. 不会有人运营独立站还不知道聊天机器人吧？五分钟带你深入了解AI聊天机器人！
20. Qt编写的软件(2019/12/11)

热门文章

1. 计算机网络：小明在家打开一个网址过程细致版（DNS缓存、DNS查询、TCP/IP协议、ARP协议、HTML渲染）
2. 引领5G智慧全场景 荣耀V30系列抢跑2020年市场
3. android环信接收透传,环信透传
4. 粗略的了解Javascript
5. jzojNOIP2014模拟 8.14总结
6. css：字母hover文字加粗，盒子变宽，导致文字列表抖动
7. vs code c语言安装视频,vscode怎样安装c语言环境
8. 工业机器人应用编程考核设备
9. xaxis python_Python Matplotlib.axes.Axes.invert_xaxis()用法及代码示例
10. pomodoro源码