1、什么是ACL？

訪問(wèn)控制列表ACL（Access Control List）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報(bào)文匹配條件的判斷語(yǔ)句，這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)等。

ACL本質(zhì)上是一種報(bào)文過(guò)濾器，規(guī)則是過(guò)濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過(guò)濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來(lái)允許或阻止該報(bào)文通過(guò)。

2、ACL可以做什么？

借助ACL，可以實(shí)現(xiàn)以下功能：

• 提供安全訪問(wèn)：企業(yè)重要服務(wù)器資源被隨意訪問(wèn)，企業(yè)機(jī)密信息容易泄露，造成安全隱患。使用ACL可以指定用戶訪問(wèn)特定的服務(wù)器、網(wǎng)絡(luò)與服務(wù)，從而避免隨意訪問(wèn)的情況。
• 防止網(wǎng)絡(luò)攻擊：Internet病毒肆意侵略企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)環(huán)境的安全性堪憂。使用ACL可以封堵高危端口，從而達(dá)成為外網(wǎng)流量的阻塞。
• 提高網(wǎng)絡(luò)帶寬利用率：網(wǎng)絡(luò)帶寬被各類業(yè)務(wù)隨意擠占，服務(wù)質(zhì)量要求最高的語(yǔ)音、視頻業(yè)務(wù)的帶寬得不到保障，造成用戶體驗(yàn)差。使用ACL實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的精確識(shí)別和控制，限制部分網(wǎng)絡(luò)流量從而保障主要業(yè)務(wù)的質(zhì)量。

基本ACL

ACL編號(hào)：2000～2999?；続CL規(guī)則只包含源IP地址，對(duì)設(shè)備的CPU消耗較少，可用于簡(jiǎn)單的部署，但是使用場(chǎng)景有限，不能提供強(qiáng)大的安全保障。

基本 ACL?接口調(diào)用方向的建議

基本?ACL?盡量調(diào)用在離目標(biāo)最近的出站方向

需求描述：

• 禁止PC1訪問(wèn)服務(wù)器Server1
• 允許其他所有的訪問(wèn)流量

3、R1?路由器

[HUAWEI]sys
[HUAWEI]un in en
[R1]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip addr 10.0.0.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip addr 192.168.10.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip addr 192.168.20.254 24

4、ACl?配置

# 創(chuàng)建 ACL
[R1]acl 2000

# 拒絕來(lái)源地址 192.168.10.0/24
[R1-acl-basic-2000]rule 5 deny source 192.168.10.0 0.0.0.255

# 允許其它全部流量
[R1-acl-basic-2000]rule 10 permit source any
[R1-acl-basic-2000]quit

# g0/0/0接口 出站流量綁定 acl 2000
[R1]int g0/0/0
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

5、測(cè)試

（1）PC1?可以訪問(wèn)?PC2?

PC1>ping 192.168.20.1

Ping 192.168.20.1: 32 data bytes, Press Ctrl_C to break
From 192.168.20.1: bytes=32 seq=1 ttl=127 time=16 ms
From 192.168.20.1: bytes=32 seq=2 ttl=127 time<1 ms
From 192.168.20.1: bytes=32 seq=3 ttl=127 time<1 ms
From 192.168.20.1: bytes=32 seq=4 ttl=127 time=15 ms
From 192.168.20.1: bytes=32 seq=5 ttl=127 time=16 ms

--- 192.168.20.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 0/9/16 ms

?（2）PC1 不能訪問(wèn)?SERVER1

PC1>ping 10.0.0.1

Ping 10.0.0.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 10.0.0.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

（3）PC2 可以訪問(wèn)?SERVER1

PC2>ping 10.0.0.1

Ping 10.0.0.1: 32 data bytes, Press Ctrl_C to break
From 10.0.0.1: bytes=32 seq=1 ttl=254 time=16 ms
From 10.0.0.1: bytes=32 seq=2 ttl=254 time<1 ms
From 10.0.0.1: bytes=32 seq=3 ttl=254 time=16 ms
From 10.0.0.1: bytes=32 seq=4 ttl=254 time=15 ms
From 10.0.0.1: bytes=32 seq=5 ttl=254 time=16 ms

--- 10.0.0.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 0/12/16 ms

6、ACL?命令文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-483910.html

# 刪除整個(gè) ACL
[R1]undo acl 2000

# 刪除某個(gè)規(guī)則
[R1]acl 2000
[R1]undo rule 5

# 查看 ACL
[R1]dis acl 2000

到了這里，關(guān)于華為路由器 基本ACL配置的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！