ACL访问控制列表

华为是默认允许所有，思科是默认拒绝所有

1.acl 两种：

基本acl（2000-2999）：只能匹配源ip地址。

高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

注1：一个接口的同一个方向，只能调用一个acl

注2：一个acl里面可以有多个rule 规则，从上往下依次执行

注3：数据包一旦被某rule匹配，就不再继续向下匹配

2.基础ACL

在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。

R2:

acl number 2000

rule 5 deny source 192.168.10.1 0 （0表示反掩码，0为精确匹配）

int e0/0/1 接口下调用acl 2000

traffic-filter outbound acl 2000 出方向

注意在哪个接口调用，才好确定出或者如的方向

（int e0/0/0

traffic-filter inbound acl 2000 入方向）

3.高级Acl

在R2上配置高级acl 拒绝PC1和PC2 ping server1,但是允许其HTTP 访问server1 。

acl number 3000

rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 拒绝ping

int e0/0/1

traffice-filter outbound acl 3000

acl 举例：拒绝源地址192.168.10.2 telnet 访问12.1.1.2

acl number 3000

rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet

[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.1.3 0 destination-port eq 5554