华为（访问控制列表ACL）

一、ACL概述

1.1 访问控制列表在接口应用的方向

1.2 ACL的应用

二、拓展访问控制列表实例

2.1 拓扑图

2.2 AR1配置

2.3 测试结果

一、ACL概述

访问控制列表ACL读取第三层、第四层包头信息，根据预先定义好的规则进行过滤.。

抓取的流量包含源地址、目标地址、源端口、目标端口、协议这五个元素。

ACL是按照顺序执行，匹配上一条即执行，不会再继续向下匹配（至少要放行一条流量），

1.1 访问控制列表在接口应用的方向

出：已经过路由器的处理，正离开路由器接口的数据包。

入：已经到达路由器接口的数据包，将被路由器处理。

入接口上调用ACL将会影响本地路由器，策略会在本地生效。

出口上调用ACL将不会影响本地路由器，将会影响数据传输过程中的下一台路由器，策略不会在本地生效。

1.2 ACL的应用

需求一：只放行一些流量

先写放行的流量再拒绝所有

需求二：只拒绝一些流量

先写拒绝的流量再放行所有

需求三：抓取一些流量

列表语句写允许这些流量通过即可，不用做策略

标准访问控制列表：基于源IP地址过滤数据包，列表号是2000-2999，列表需要放在靠近目标的位置。

扩展访问控制列表，基于源IP地址、目标IP地址、指定协议、源端口、目标端口和标志来过滤数据包，列表号是3000-3999，列表需要放在靠近源的位置。

二、拓展访问控制列表实例

案例需求：通过配置标准访问控制列表阻止Client1访问ftp

2.1 拓扑图

2.2 AR1配置

<Huawei>undo ter mon #关闭弹出信息
<Huawei>sys #进入系统视图
[Huawei]user-in con 0 #配置永不超时
[Huawei-ui-console0]id 0 0
[Huawei-ui-console0]q #退到上一级
[Huawei]sysname AR1 #重命名
[AR1]int g0/0/0 #进入接口
[AR1-GigabitEthernet0/0/0]ip add 192.168.10.1 24 #配置IP地址
[AR1-GigabitEthernet0/0/0]undo sh #开启接口
[AR1-GigabitEthernet0/0/0]int g0/0/1 #进入接口
[AR1-GigabitEthernet0/0/1]ip add 192.168.20.1 24 #配置IP地址
[AR1-GigabitEthernet0/0/1]undo sh #开启接口
[AR1-GigabitEthernet0/0/1]q #退到上一级
[AR1]acl 3000 #创建ACL3000
[AR1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination any destination-port eq ftp #创建阻止Client1访问所有ftp的规则
[AR1-acl-adv-3000]rule permit ip source any destination any #放行所有三层流量
[AR1-acl-adv-3000]q #退到上一级
[AR1]int g0/0/0 #进入接口
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #将acl 3000应用在入口

2.3 测试结果

client1能够ping通服务器但无法访问ftp，client2能ping通服务器也能访问ftp