华为路由交换技术 | 访问控制列表ACL（Access Control List ）详解与配置案例

• 编辑 | 排版 | 制图 | 测试 | ©瑞哥
• 此文用时1小时18分钟，原创不易，坚持更不易，希望我的每一份劳动成果都可以得到大家的一个【在看】

ACL两种：

基本ACL（2000-2999）：只能匹配源ip地址。

高级ACL（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

ACL举例（1）：拒绝PC1访问172.16.10.x 网段

R2：

acl number 2000 建立基本acl （表号2000）

rule 5 deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的任何数据包。 5为自动生成的执行序号。

int gi 0/0/0

traffic-filter inbound acl 2000 在接口的入方向调用acl

ACL举例（2）：拒绝PC1 和PC2 ping server 1，但是允许其http 访问。

R2:

acl number 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
int gi 0/0/0
traffic-filter inbound acl 3000

ACL 举例（3）：拒绝 PC2 telnet 访问12.1.1.2

R2:

acl number 3001
rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port e q telnet
int gi0/0/0
traffic-filter inbound acl 3001

注意：

• 注1：一个接口的同一个方向，只能调用一个acl
• 注2：一个acl里面可以有多个rule 规则，从上往下依次执行
• 注3：数据包一旦被某rule匹配，就不再继续向下匹配
• 注4：默认隐含放过所有（华为的acl 用来拒绝数据包时）。

ACL 举例（4）：

ACL3005

• ① 拒绝源地址是1.1.1.0/24 目标地址是2.2.2.2 ftp 的报文
• ② 允许源地址是1.1.1.0/24 的任何报文
• ③ 拒绝源地址是3.3.3.3 目标是7.7.7.7的任何ping 包
• ④ 拒绝任何telnet 的报文
• ⑤ 放过剩下的所有报文

acl number 3005
rule 5 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.2 0 destination-port
eq ftp-data
rule 10 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.2 0 destination-por
t eq ftp
rule 15 permit ip source 1.1.1.0 0.0.0.255
rule 20 deny icmp source 3.3.3.3 0 destination 7.7.7.7 0
rule 25 deny tcp destination-port eq telnet
rule 30 permit ip