华为路由器高级ACL配置-Toy模板网

这篇具有很好参考价值的文章主要介绍了华为路由器高级ACL配置。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

高级ACL

与基本ACL相比，高级ACL提供了更准确、丰富、灵活的规则定义方法。比如根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。

高级 ACL 接口调用方向的建议

高级 ACL 尽量调用在离源头最近的入站方向

需求描述：

禁止Client1访问PC3
允许Client2访问Sever1服务器80端口

拓扑图

华为路由器高级ACL配置

机器	IP	网关
Client1	192.168.10.1	192.168.10.254
Client2	192.168.20.1	192.168.20.254
PC3	10.0.0.1	10.0.0.254
Server1	10.0.0.2	10.0.0.254

1、交换机 SW1 设置

<Huawei>sys
[Huawei]un in en
[Huawei]sys SW1

# 创建VLAN
[SW1]vlan batch 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]p l a
[SW1-Ethernet0/0/1]p d v 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]p l a
[SW1-Ethernet0/0/2]p d v 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]p l t
[SW1-Ethernet0/0/3]p t a v 10 20

2、路由器 R1 设置

<Huawei>sys
[Huawei]
[Huawei]un in en
[Huawei]sys R1

# 单臂路由方式配置与 SW1 交换机连接口
[R1]int g0/0/0.10
[R1-GigabitEthernet0/0/0.10]dot1q ter vid 10
[R1-GigabitEthernet0/0/0.10]ip addr 192.168.10.254 24
[R1-GigabitEthernet0/0/0.10]arp bro en
[R1-GigabitEthernet0/0/0.10]int g0/0/0.20
[R1-GigabitEthernet0/0/0.20]dot1q ter vid 20
[R1-GigabitEthernet0/0/0.20]ip addr 192.168.20.254 24
[R1-GigabitEthernet0/0/0.20]arp bro en
[R1-GigabitEthernet0/0/0.20]quit

# 配置与 SW2 交换机连接口IP
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]ip addr 10.0.0.254 24

3、路由器设置高级ACL

# 创建 ACL 3000
[R1]acl 3000

# 禁止来源地址 192.168.10.0 网段访问 10.0.0.1（IP协议）
[R1-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 10.0.0
.1 0

# 禁止来源地址 192.168.20.0 网段访问 10.0.0.2 服务器80端口 （TCP协议）
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.0
.0.2 0.0.0.0 destination-port eq 80

# 允许其它IP访问
[R1-acl-adv-3000]rule 15 permit ip source any 


# g0/0/0 入站方向 绑定 acl
[R1-acl-adv-3000]int g0/0/0
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]traffic-filt inbound acl 3000

4、测试

（1）Client1 无法访问 PC3

华为路由器高级ACL配置