ACL包过滤防火墙技术是我们学习NE的重要技术，H3C V7设备默认包过滤防火墙功能就开启了，默认的规则是permit。今天的技术帖我们就给大家介绍针对ICMP协议的包过滤。

拓扑图如下图所示：

RT1和RT3配置正确的路由之后，10.1.1.1可以ping通20.1.1.2，配置包过滤防火墙功能，让10.1.1.1 ping不通 20.1.1.2，但是20.1.1.2能ping通10.1.1.1。

思路：一般我们ping 某一个地址，会向对方发送echo的请求报文，等待对方回送echo reply的应答，此时就可以配置包过滤针对icmp的报文做过滤。

RT1的配置如下所示：

[RT1]acladvanced 3000 //配置高级的ACL

[RT1-acl-ipv4-adv-3000]rule0 deny icmp source 10.1.1.1 0.0.0.0 destination 20.

1.1.20.0.0.0 icmp-type echo //拒绝10.1.1.1发往20.1.1.2的icmp的请求报文

[RT1]interfaceGigabitEthernet 0/0

[RT1-GigabitEthernet0/0]packet-filter3000 outbound //包过滤防火墙在接口生效

配置成功之后，拿10.1.1.1 ping 20.1.1.2发现ping不通，因为icmp的请求报文已经被过滤，如下图所示：

但是20.1.1.2可以ping通10.1.1.1，因为20.1.1.2发往10.1.1.1的icmp请求报文没有被过滤，匹配默认规则permit，如下图所示：