华为-ACL访问控制列表

ACL：access list 访问控制列表

acl 两种：
基本acl（2000-2999）：只能匹配源ip地址。
高级acl（3000-3999）：能够匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

四个注意事项：
注1：一个接口的同一个方向，只能调用一个acl
注2：一个acl里面能够有多个rule 规则，从上往下依次执行
注3：数据包一旦被某rule匹配，就再也不继续向下匹配
注4: 用来作数据包访问控制时，默认隐含放过全部（华为设备）

ACL 两种做用：
① 用来对数据包作访问控制（丢弃或者放行）
② 结合其余协议，用来匹配范围

配置静态路由使全网互通：

R1：ip route-static 172.16.10.0 24 12.1.1.2 
R2：ip route-s 192.168.10.0 24 12.1.1.1

需求一：在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。
R2:

acl number 2000    建立acl 2000    
rule  deny source 192.168.10.1    0   拒绝源地址为192.168.10.1 的流量
int gi 0/0/1
traffic-filter outbound acl 2000   接口下出方向调用acl 2000

inbound：进入方向 站在路由器的角度考虑 数据包进入路由器“肚子”里面的时候
outbound：出方向 站在路由器的角度考虑 数据包从路由器的？肚子"向外发出时

调试命令：查看acl是否生效 （matches 数量）

匹配了15个报文，拒绝了15个报文

需求二：在R2上配置高级acl 拒绝PC1所在的网段 ping server1,可是容许其HTTP 访问server1

R2:
acl 3000
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
int gi0/0/1
traffic-filter outbound acl 3000

拒绝① 源地址为192.168.10.0/24 且② 目标地址为172.16.10.2 且是③ icmp的包 （注意：三个条件①②③ 同时被知足才能够被拒绝掉）
acl 工做原理：当数据包从接口通过时，因为接口启用了acl，此时路由器会对报文进行检查，而后作出相应的处理。

需求三：在R2上配置高级acl 拒绝PC1所在网段 http 访问server1,可是容许其 ping server。

R2:

acl number 3001       
rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 destination-port eq 80
int gi 0/0/1    
traffic-filter outbound acl 3001

acl 举例：拒绝源地址192.168.10.2 telnet 访问12.0.0.2

acl  3000    rule 5 deny tcp source 192.168.10.2  0 destination 12.0.0.2  0 destination-port eq  telnet

acl举例：拒绝全部的报文

acl number 3006      
rule 5 deny ip

注意：acl 不能拒绝路由器本身触发产生的报文。

可选配置：只容许12.1.1.5 远程telnet

acl   2000
rule  permit source 12.1.1.5    0  
rule  deny

user-interface vty 0 4  
acl 2000 inbound