访问控制列表ACL（HCNA实验指南）

一、访问控制列表实验拓扑图

acl.png

二、实验要求
R1为部门1网关
R2为部门2网关
R3为去往总部出口网关设备
R4为总部核心路由器
要求只有R1能方位R4，其他设备均不能访问

三、基本配置
进行基础ospf配置

四、ACL配置
先配置telnet：
R4：user-interface vty 0 4
R4：authentication-mode password
please~~~：huawei
再配置acl：
R4：acl 2000 //基本的acl为2000到2999
R4：rule 5 permit source 1.1.1.1 0 //允许1.1.1.1的数据报文通过
acl配置完成后，需要在vty中调用使用inbound（由低安全区到高安全区）参数
R4：user-interface vty 0 4
R4：acl 2000 inbound

在R1上进行telnet -a 1.1.1.1 4.4.4.4 可以连通
在R2上进行telnet 4.4.4.4 无法访问4.4.4.4

实验结果表明acl已经完全生效

五、高级访问控制列表配置
基本acl只能用于匹配ip地址，实际应用中往往需要针对数据包的其他参数进行匹配，例如目的ip地址，协议号、端口号等，所以基本acl由于匹配的局限性无法实现更多的功能。

高级acl编号范围为：3000~3999

六、高级ACL配置
先配置telnet：
R4：user-interface vty 0 4
R4：authentication-mode password
please~~~：huawei
再配置acl：
R4：acl 3000 //基本的acl为2000到2999
R4：rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0 //允许源地址为1.1.1.1的访问4.4.4.4
acl配置完成后，需要在vty中调用使用inbound（由低安全区到高安全区）参数
R4：user-interface vty 0 4
R4：acl 3000 inbound

测试：
R1：telent -a 1.1.1.1 40.40.40.40
无法访问

高级acl配置已经生效