參考文章：

(21條消息) 華為 ACL訪問控制列表 （高級ACL為例）_藝博東的博客-CSDN博客_華為acl訪問控制列表

(21條消息) 華為-ACL-訪問控制列表（基礎理論與配置實驗詳解）_BIGmustang的博客-CSDN博客_華為acl配置命令詳解

ACL基本概述：

ACL：訪問控制列表

功能：通過過濾報文達到流量控制、攻擊防范以及用戶接入控制等

ACL限制手段：

deny拒絕

permit	允許

?
匹配規則：
? 1、自上而下 匹配到則停止
? 2、cisco默認最后隱含拒絕所有
? 3、華為默認最后允許所有
?
ACL分類：
? 1、標準ACL 僅匹配流量中的源IP地址
? 2、擴展ACL 匹配流量中的源目ip地址，目標端口號或協議號
?
ACL寫法：
? 1、編號 標準2000-2999，擴展3000-3999
? 2、命名 類似描述

ACL的配置步驟：

? （一）根據需求編寫ACL；

? （二）將ACL應用到路由器接口的某個方向

命令配置案例

編號寫法：

[r2]acl 2000 [r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 [r2-acl-basic-2000]rule deny source 192.168.2.1 0 [r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255 [r2-acl-basic-2000]rule deny source 192.168.1.0 0.255.0.255

注意：ACL使用的是通配符，OSPF使用的是反掩碼，區別是通配符可以01交替

acl編號默認步長為5，方便插入規則

[r2-acl-basic-2000]dis this [V200R003C00] # acl number 2000 rule 5 deny source 192.168.1.2 0 rule 10 deny source 192.168.2.1 0 rule 15 deny source 192.168.2.0 0.0.0.255 rule 20 deny source 192.0.1.0 0.255.0.255 #

插入規則9

[r2-acl-basic-2000]rule 9 deny source 192.168.1.1 0.0.0.0 [r2-acl-basic-2000]dis this [V200R003C00] # acl number 2000 rule 5 deny source 192.168.1.2 0 rule 9 deny source 192.168.1.1 0 rule 10 deny source 192.168.2.1 0 rule 15 deny source 192.168.2.0 0.0.0.255 rule 20 deny source 192.0.1.0 0.255.0.255 #

命名寫法：

[r2]acl name yunjisuan basic match-order auto [r2-acl-basic-yunjisuan]rule deny source 192.168.3.0 0.0.0.255 [r2-acl-basic-yunjisuan]dis this [V200R003C00] # acl name yunjisuan 2999 match-order autorule 5 deny source 192.168.3.0 0.0.0.255 #

命令：
1、標準ACL 因為只能匹配流量中的源IP地址，避免擴大范圍，所以在靠近目標位置進行配置
2、擴展ACL 因為可以匹配更多特征，所以在靠近流量源頭進行配置

1、拒絕192.168.1.1訪問192.168.2.1和192.168.2.2主機

#定義acl2001 [r2]acl 2001 [r2-acl-basic-2001]rule deny source 192.168.1.1 0#在接口上應用ACL規則 [r2]int g0/0/1 [r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001#如果是cisco設備，需要在ACL上做如下配置 [r2-acl-basic-2001]rule permit source any

2、 拒絕192.168.1.1訪問192.168.2.1

#刪除之前的規則 [r2-GigabitEthernet0/0/1]undo traffic-filter outbound#創建新的ACL [r1]acl 3000 [r1-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.2.1 0#接口上應用ACL [r1]int g0/0/1 [r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

3、允許192.168.0.1telnet連接到192.168.0.2，但禁止ping

#配置路由器添加賬號，允許telnet登陸，授予權限 [r2]aaa [r2-aaa]local-user haha password cipher huawei Info: Add a new user. [r2-aaa]local-user haha service-type telnet [r2-aaa]local-user haha privilege level 15 #1-15 15權限最大#或許會有telnet server enable#應用aaa認證 [r2]user-interface vty 0 4 [r2-ui-vty0-4]authentication-mode aaa#編寫acl [r2]acl 3000 [r2-acl-adv-3000]rule deny icmp source 192.168.0.1 0 destination 192.168.0.2 0 [r2-acl-adv-3000]q#應用該ACL [r2]int g0/0/0 [r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

4、拒絕192.168.0.1登陸192.168.0.2的telnet服務

[r2]acl 3001 [r2-acl-adv-3001]rule deny tcp source 192.168.0.1 0 destination 192.168.0.2 0 destination-port eq 23 [r2-acl-adv-3001]q [r2]int g0/0/0 [r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001

5、允許訪問所有目標為443的端口

acl 3000 rule 5 permit ip source 192.168.101.25 0 destination 192.168.5.251 0 #允許訪問單個ip，acl中子網掩碼需 要寫反掩碼 rule 10 permit tcp source 192.168.101.25 0 destination-port eq 443 #允許訪問所有目標為443的端口 interface GigabitEthernet 0/0/10 #進入10號口 traffic-filter inbound acl 3000 #入口方向應用acl 3000策略，出方向使用outbound

總結

以上是生活随笔為你收集整理的ACL基本概述与配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。