ACL配置實(shí)驗(yàn)一(高級(jí)ACL)（簡(jiǎn)單）的拓?fù)鋱D如下：

一、配置PC1、PC2和Server

?

?二、配置Router（運(yùn)用高級(jí)ACL配置）

相關(guān)命令解析：

[Router]acl 3000（進(jìn)入高級(jí)ACL配置，編號(hào)為3000）

[Router-acl-adv-3000]route 1 permit source 10.1.7.66 0（0為通配符掩碼） destination 20.1.1.2 0（0為通配符掩碼）

[Router-acl-adv-3000]route 2?deny source 10.1.7.2 0 destination 20.1.1.2 0

//通配符掩碼：0.0.0.0，表示唯一匹配的一個(gè)主機(jī)地址(對(duì)于華為eNSP的命令直接輸0也可以)

//rule 1/rule 2表示設(shè)立一條規(guī)則，編號(hào)為一/二

//permit是允許通過(guò)的意思，deny是不允許通過(guò)的意思

[Router-GigabltEthernet0/0/0]traffic-filter outbound acl 3000 
//意思是把a(bǔ)cl 3000的配置這條規(guī)則放在G0/0/0這個(gè)端口之下,并在接口上配置基于ACL對(duì)報(bào)文進(jìn)行過(guò)濾。

traffic-filter命令用來(lái)在接口上配置基于ACL對(duì)報(bào)文進(jìn)行過(guò)濾。?

使用實(shí)例

# 在Eth2/0/0上配置基于ACL對(duì)報(bào)文流進(jìn)行過(guò)濾，允許源IP為192.168.0.2/32的報(bào)文通過(guò)。

<Huawei> system-view 
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 permit ip source 192.168.0.2 0 
[Huawei-acl-adv-3000] quit 
[Huawei] interface ethernet 2/0/0 
[Huawei-Ethernet2/0/0] traffic-filter inbound acl 3000

區(qū)分反掩碼和通配符掩碼

反掩碼其實(shí)就是用255.255.255.255減去掩碼，剩下的就為反掩碼。反掩碼也必須由從右到左連續(xù)的“1”和“0”組成 。通配符掩碼和反掩碼很不同的一點(diǎn)是反掩碼必須有連續(xù)的"1"和"0"組成，但是通配符的"1"可以被"0"隔開(kāi)。通配符掩碼中"0"代表精確匹配，"1"代表任意匹配。當(dāng)然，通配符掩碼的計(jì)算方式類似于反掩碼，在細(xì)節(jié)上又不同于反掩碼。

舉例1：192.168.1.0? 0.0.0.255這條規(guī)則匹配了192.168.1.0 /24 這個(gè)網(wǎng)段，共有256個(gè)地址

把點(diǎn)分十進(jìn)制組成的0.0.0.255通配符掩碼寫(xiě)成二進(jìn)制，就變?yōu)?0000000 00000000 00000000 11111111，因?yàn)樵谕ㄅ浞诖a中，"0"代表精確匹配，"1"代表任意匹配，因此，IP地址只匹配最后八位11111111，共有2^8=256個(gè)地址數(shù)可供選擇，所以，可以匹配的地址就是192.168.1.0~192.168.1.255

?三、實(shí)驗(yàn)結(jié)果（能Ping通PC2但無(wú)法Ping通PC1）

?ACL配置實(shí)驗(yàn)二（基本ACL）的拓?fù)鋱D如下：

?一、配置PC1、PC2和路由器AR1、AR2

二、配置靜態(tài)路由使得PC1、PC2能夠Ping通AR2

相關(guān)解析：

[R2]ip route-static 172.16.1.0 24 12.1.1.1
//配置靜態(tài)路由命令，24表示掩碼位數(shù)，172.16.1.0是目標(biāo)網(wǎng)段地址，12.1.1.1是AR2路由器的下一跳地址。

?三、配置基本ACL（使得PC1無(wú)法訪問(wèn)（Ping通）AR2，PC2可以訪問(wèn)（Ping通）AR2）

1.在路由器R1上配置基本ACL?并確認(rèn)ACL配置結(jié)果，然后調(diào)用ACL并且檢查ACL調(diào)用結(jié)果

命令格式：?

執(zhí)行命令rule?[?rule-id?] {?deny?|?permit?} [?source?{?source-address source-wildcard?|?any?} |?fragment?|?logging?|?time-range?time-name?| {?vpn-instance?vpn-instance-name?|?public?}?]?*

[R1]acl 2000

[R1-acl-basic-2000]rule 1 deny source 172.16.1.100 0? //不允許PC1訪問(wèn)

[R1-acl-basic-2000]rule 2 permit source 172.16.1.200 0? //允許PC2訪問(wèn)

[R1-acl-basic-2000]rule permit? //放行其他流量，系統(tǒng)默認(rèn)為拒絕所有流量

[R1-acl-basic-2000]dis this? //查看ACL配置結(jié)果

[R1]int g0/0/1? //進(jìn)入端口號(hào)g0/0/1調(diào)用ACL

[R1-GigabitEthernet]traffic-filter outbound 2000? //前面ACL實(shí)驗(yàn)一已有詳細(xì)解釋，不再贅述。

[R1-GigabitEthernet]dis this //查看g0/0/1接口的ACL調(diào)用情況

??

2.測(cè)試PC1、PC2能否訪問(wèn)路由器R2

?3.檢查ACL的匹配情況

由圖可知，由匹配數(shù)字，說(shuō)明配置的基本ACL生效了，一個(gè)基本ACL配置實(shí)驗(yàn)完成。

?ACL配置實(shí)驗(yàn)三（高級(jí)ACL）的拓?fù)鋱D如下：

一、配置R1、R2、R3、R4

二、配置靜態(tài)路由使得各個(gè)路由器可以連通

三、測(cè)試Telnet功能

1.開(kāi)啟Telnet

?2.測(cè)試Telnet

四、配置高級(jí)ACL

[R2-acl-adv-3000]rule deny tcp destination 12.1.1.2 0 destination-port 
eq 23 source 172.16.1.200 0?

//這是一條ACL規(guī)則，意思是拒絕目的TCP端口為23號(hào)端口的數(shù)據(jù)包，（telnet使用的是
//tcp23號(hào)端口），作用即如果有數(shù)據(jù)包是訪問(wèn)某IP的telnet端口的，則會(huì)被拒絕掉。
//eq 是端口的意思

inbound和outbound的區(qū)別

inbound代表ACL入接口，outbound代表ACL出接口，可與前面的實(shí)驗(yàn)一進(jìn)行對(duì)比。

五、檢查實(shí)驗(yàn)結(jié)果

由圖可知路由器R3可以Telnet路由器R2，而路由器R4不能Telnet路由器R2。同時(shí)其他業(yè)務(wù)沒(méi)有受到影響。

?由上面兩圖可知，ICMP的流量正常。最后，讓我們看一下ACL匹配情況。ACL的匹配項(xiàng)驗(yàn)證結(jié)果如下圖所示：

由上圖可知，匹配情況正常，這說(shuō)明ACL匹配成功，且應(yīng)用成功。至此，配置實(shí)驗(yàn)完畢。

?ACL配置實(shí)驗(yàn)四（基于時(shí)間的ACL及其配置實(shí)例）的拓?fù)鋱D如下：

繼續(xù)實(shí)驗(yàn)三的實(shí)驗(yàn)完成實(shí)驗(yàn)四的配置：

一、配置基于時(shí)間的ACL?

1.在路由器R2上配置基于時(shí)間的ACL

?2.調(diào)用基于時(shí)間的ACL

二、測(cè)試

1.在路由器R2上查看時(shí)間，如下圖所示，驗(yàn)證VRP系統(tǒng)的時(shí)間

2.由上圖可知，在訪問(wèn)時(shí)間內(nèi)，發(fā)起Telnet會(huì)話，如下圖所示，完成有效時(shí)間內(nèi)的網(wǎng)絡(luò)測(cè)試

?3.由上圖可知，Telnet配置成功。最后我們來(lái)查看一下基于時(shí)間的ACL是否匹配，如下圖所示，進(jìn)行生效驗(yàn)證。

由上圖可知，有的字段為Active，并且由匹配項(xiàng)，這說(shuō)明是在正確的時(shí)間內(nèi)進(jìn)行訪問(wèn)的。讀者可以測(cè)試一下，不在規(guī)則的時(shí)間內(nèi)進(jìn)行訪問(wèn)的結(jié)果，測(cè)試結(jié)果會(huì)告訴你，基于時(shí)間的ACL可以有效控制網(wǎng)絡(luò)訪問(wèn)。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-424494.html

到了這里，關(guān)于華為[ENSP]ACL配置實(shí)例(訪問(wèn)控制列表配置實(shí)例)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！