ACL（访问控制列表）

ACL ：access control list 访问控制列表

acl 两种：

基本acl（2000-2999）：只能匹配源ip地址。

高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字

段。

acl 举例：拒绝PC1访问172.16.10.x 网段

R2：

acl number 2000 建立基本acl （表号2000）

rule 5 deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的任何数据包。 5为自

动生成的执行序号。

int gi 0/0/0

traffic-filter inbound acl 2000 在接口的入方向调用acl

acl 举例：拒绝PC1 和PC2 ping server 1，但是允许其http 访问。

R2:

acl number 3000

rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0

int gi 0/0/0

traffic-filter inbound acl 3000

acl 举例：拒绝 PC2 telnet 访问12.1.1.2

R2:

acl number 3001

rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port e

q telnet

int gi0/0/0

traffic-filter inbound acl 3001

注意：

注1：一个接口的同一个方向，只能调用一个acl

注2：一个acl里面可以有多个rule 规则，从上往下依次执行

注3：数据包一旦被某rule匹配，就不再继续向下匹配

注4：默认隐含放过所有（华为的acl 用来拒绝数据包时）。

ACL 举例：

acl 3005

① 拒绝源地址是1.1.1.0/24 目标地址是2.2.2.2 ftp 的报文

② 允许源地址是1.1.1.0/24 的任何报文

③ 拒绝源地址是3.3.3.3 目标是7.7.7.7的任何ping 包

④ 拒绝任何telnet 的报文

⑤ 放过剩下的所有报文

acl number 3005

rule 5 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.2 0 destination-port

eq ftp-data

rule 10 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.2 0 destination-por

t eq ftp

rule 15 permit ip source 1.1.1.0 0.0.0.255

rule 20 deny icmp source 3.3.3.3 0 destination 7.7.7.7 0

rule 25 deny tcp destination-port eq telnet

rule 30 permit ip

---