华为设备的ACL

普通ACL

ACL（Access Control List）就是为了控制访问权限，是应用在路由器接口的指令列表。
他是根据提前设定的一系列规则来控制流量的出入，通常是对第三层第四层的数据包的某些字段进行过滤，从而到达访问控制。五个元素可以概况，源地址，目标地址，源端口，目标端口，UDP或TCP。

分类和编号范围	参数
普通ACL（2000-2999）	原IP地址
高级ACL（3000-3999）	原/目的IP、源/目的端口、协议类型

因为ACL是指定流量控制，所以在做之前了解明细的需求是非常有必要的。
一个演示的小实验需求：
要求PC1不能和Server通信，其它的都通。

[R5]acl 2000    //普通ACL
[R5-acl-basic-2000] rule 5 deny source 192.168.1.1     0.0.0.0  //规则5，可以插入很多规则哦。不会打问号
[R5-GigabitEthernet0/0/0]traffic-filter outbound acl 2000              //进接口，出站流量过滤进入该ACL规则
                   //这一步各个机器互相ping
[R5]display acl all          //然后查看ACL
 Total quantity of nonempty ACL number is 1 

Basic ACL 2000, 1 rule
Acl's step is 5
 rule 5 deny source 192.168.1.1 0 (5 matches)             //ping了5次，5次都被匹配到。成功

注意出站和入站的设计哦，如果在1接口入站控制的话，那2.1都不通哦。对于基本ACL，再调用时，尽量调用在距离目标较近的地方

高级ACL

我们其实发现，对于2000-2999的基本ACL，仅是匹配原目标的IP地址。匹配非常不精确。那么对于高级ACL是可以匹配唯一的数据流的。和普通ACL不同，我们都建议将高级ACL放在距离源较近的地方

注意：

1. wildcard:就是我们acl的ip地址后面跟着的通配符。一样是32位，只要是0就检查对应的IP地址，1就不会检查。比如说ACL拒绝10.10.10.1访问20.20.20.0网段。那么wildcard就是0.0.0.255

2. ACL号下，规则是按照从小到大匹配的。最开始的一条无法匹配就看下一条。设置规则时要注意避免需求混淆顺序或者冲突。

3. ACL控制不能控制本设备发出的流量。没有人会主动把自己搞死。

4. ACL的调用命令traffic-filter下，隐含着允许所有在最后，就是说如果规则匹配都没有匹配到，那么我就会允许你过去。而其他的情况下都是隐含着拒绝所有！
   

实例

题目写在了图中。图中的各个设备都已经配置好。（静态路由别忘了）

我们在全网PING通的基础之上来分析和逐步实现需求。
1.R1只允许网管远程登陆。
—》对R1设备创建认证和ACL：

[R1]acl 2000           //创建普通ACL就好
[R1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0     //仅允许网管IP
[R1]user-interface vty 0 4              
[R1-ui-vty0-4]acl 2000 inbound           //在管理配置调用该ACL**（注意这个是在vty里面设置，不可以在接口！）**
[R1-ui-vty0-4]authentication-mode aaa    //启用3a认证
[R1-ui-vty0-4]user privilege level 15 
[R1-ui-vty0-4]aaa
[R1-aaa]local-user Sean password cipher 123
[R1-aaa]local-user Sean service-type telnet

—》验证：
网管设置可以远程

其他设备无法远程

2.研发和财务不能互通

[R2-acl-adv-3000]rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 
[R2-acl-adv-3000]q
[R2]int g0/0/2  //进接口调用
[R2-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[R2]dis acl all
 Total quantity of nonempty ACL number is 1 

Advanced ACL 3000, 1 rule
Acl's step is 5
 rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 (10 matches)  //ping了十次都匹配了。成功

3.财务不能访问Client1

interface GigabitEthernet0/0/1
 ip address 192.168.3.254 255.255.255.0 
 traffic-filter inbound acl 3000
#
return
[R3-GigabitEthernet0/0/1]q
[R3]dis acl all
 Total quantity of nonempty ACL number is 1 

Advanced ACL 3000, 1 rule
Acl's step is 5
 rule 10 deny ip source 192.168.3.1 0 destination 192.168.5.1 0 

4.研发和财务只能访问Server1的www服务
只有网管可以访问server1的所有服务

[R3]acl 3001
[R3-acl-adv-3001]rule 10 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[R3-acl-adv-3001]rule 20 permit tcp source 192.168.3.1 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
[R3-acl-adv-3001]rule 30 permit ip source 192.168.1.1 0 destination 192.168.4.1 0
[R3-acl-adv-3001]rule 40 deny ip source any destination any
[R3-acl-adv-3001]interface g0/0/2 
[R3-GigabitEthernet0/0/2]  traffic-filter outbound acl 3001

ACL配置一般思路：

1. 确定配置设备
2. 确定配置接口
3. 确定数据风向
4. 创建ACL
5. 调用ACL
6. 验证与测试