参考文章:

(21条消息) 华为 ACL访问控制列表 (高级ACL为例)_艺博东的博客-CSDN博客_华为acl访问控制列表

(21条消息) 华为-ACL-访问控制列表(基础理论与配置实验详解)_BIGmustang的博客-CSDN博客_华为acl配置命令详解

ACL基本概述:

ACL:访问控制列表

功能:通过过滤报文达到流量控制、攻击防范以及用户接入控制等

ACL限制手段:

deny 拒绝
permit 允许


匹配规则
​ 1、自上而下 匹配到则停止
​ 2、cisco默认最后隐含拒绝所有
​ 3、华为默认最后允许所有

ACL分类
​ 1、标准ACL 仅匹配流量中的源IP地址
​ 2、扩展ACL 匹配流量中的源目ip地址,目标端口号或协议号

ACL写法
​ 1、编号 标准2000-2999,扩展3000-3999
​ 2、命名 类似描述

ACL的配置步骤

​ (一)根据需求编写ACL;

​ (二)将ACL应用到路由器接口的某个方向

命令配置案例

编号写法:

[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.2.1 0
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
[r2-acl-basic-2000]rule deny source 192.168.1.0 0.255.0.255

注意:ACL使用的是通配符,OSPF使用的是反掩码,区别是通配符可以01交替

acl编号默认步长为5,方便插入规则

[r2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  rule 5 deny source 192.168.1.2 0 rule 10 deny source 192.168.2.1 0 rule 15 deny source 192.168.2.0 0.0.0.255 rule 20 deny source 192.0.1.0 0.255.0.255 
#

插入规则9

[r2-acl-basic-2000]rule 9 deny source 192.168.1.1 0.0.0.0
[r2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  rule 5 deny source 192.168.1.2 0 rule 9 deny source 192.168.1.1 0 rule 10 deny source 192.168.2.1 0 rule 15 deny source 192.168.2.0 0.0.0.255 rule 20 deny source 192.0.1.0 0.255.0.255 
#

命名写法:

[r2]acl name yunjisuan basic match-order auto 
[r2-acl-basic-yunjisuan]rule deny source 192.168.3.0 0.0.0.255
[r2-acl-basic-yunjisuan]dis this
[V200R003C00]
#
acl name yunjisuan 2999  match-order autorule 5 deny source 192.168.3.0 0.0.0.255 
#

命令:
1、标准ACL 因为只能匹配流量中的源IP地址,避免扩大范围,所以在靠近目标位置进行配置
2、扩展ACL 因为可以匹配更多特征,所以在靠近流量源头进行配置

1、拒绝192.168.1.1访问192.168.2.1和192.168.2.2主机

#定义acl2001
[r2]acl 2001
[r2-acl-basic-2001]rule deny source 192.168.1.1 0#在接口上应用ACL规则
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001#如果是cisco设备,需要在ACL上做如下配置
[r2-acl-basic-2001]rule permit source any

2、 拒绝192.168.1.1访问192.168.2.1

#删除之前的规则
[r2-GigabitEthernet0/0/1]undo traffic-filter outbound#创建新的ACL
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.2.1 0#接口上应用ACL
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

3、允许192.168.0.1telnet连接到192.168.0.2,但禁止ping

#配置路由器添加账号,允许telnet登陆,授予权限
[r2]aaa
[r2-aaa]local-user haha password cipher huawei
Info: Add a new user.	
[r2-aaa]local-user haha service-type telnet 
[r2-aaa]local-user haha privilege level 15    #1-15  15权限最大#或许会有telnet server enable#应用aaa认证
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa#编写acl
[r2]acl 3000
[r2-acl-adv-3000]rule deny icmp source 192.168.0.1 0 destination 192.168.0.2 0
[r2-acl-adv-3000]q#应用该ACL
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

4、拒绝192.168.0.1登陆192.168.0.2的telnet服务

[r2]acl 3001
[r2-acl-adv-3001]rule deny tcp source 192.168.0.1 0 destination 192.168.0.2 0 destination-port eq 23
[r2-acl-adv-3001]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001

5、允许访问所有目标为443的端口

acl 3000
rule 5 permit ip source 192.168.101.25 0 destination 192.168.5.251 0  #允许访问单个ip,acl中子网掩码需 要写反掩码
rule 10 permit tcp source 192.168.101.25 0 destination-port eq 443       #允许访问所有目标为443的端口
interface GigabitEthernet 0/0/10  #进入10号口
traffic-filter inbound acl 3000  #入口方向应用acl 3000策略,出方向使用outbound