华为HCNA之配置高级ACL实验

导语：

访问控制列表ACL（Access Control List）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。
高级ACL：
表示方式：ID，取值控制为：3000~3999
可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口；
匹配数据更加的精确

拓扑图：

步骤：

1.基本配置：

如拓扑图和配置图所示，完成各个物理设备和接口的配置，并测试连通性：

2.搭建OSPF网络：

仅以R1为例，其他同理：

[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

配置完成后，查看R1的ospf路由条目：

可以看到，R1已经学习到了所有路由信息。

3.配置Telnet：

[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei

用1.1.1.1尝试登陆R4的两个环回接口：


均登陆成功过，可以得知，只要拥有Telnet的密码均可以成功登陆到R4上。

4.配置高级ACL访问控制：

我们的目标是R1的环回接口只能通过R4的4.4.4.4接口访问Telnet，不能通过40.40.40.40访问。基本ACL只能控制源地址因此不能完成此任务，高级ACL不仅能控制源地址，还能控制目的地址，可以完成此任务：

[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0

查看ACL配置信息：

接着，使用vty进行acl的调用：

[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound 

配置完成后，再使用1.1.1.1访问40.40.40.40：

可以看到，配置已生效，1.1.1.1不能通过40.40.40.40访问Telnet。

至此，高级ACL实验已经配置完成！

思考题：

问题：路由器能否通过ACL过滤自己产生的数据包？
解答：不能，因为ACL只能过滤路由条目或数据包，而OSPF在区域内是传递的链路状态信息，链路状态信息无法过滤。