ACL实验演示（Huawei路由器设备配置）

一、ACL介绍

ACL（Access Control List）访问控制列表，其目的是为了对某种访问进行控制，使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ps：华为默认允许通过数据包，思科默认拒绝通过。

二、ACL实验目的

允许技术部（192.168.3.0网段）访问服务器；

不允许事业部和外网访问服务器；

三、实验拓扑

四、实验配置

（1）R1配置

<Huawei>system-view

[Huawei]sysname R1

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.2.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 192.168.3.254 24

[R1-GigabitEthernet0/0/1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 192.168.4.254 24

[R1-GigabitEthernet0/0/2]int g4/0/0

[R1-GigabitEthernet4/0/0]ip add 12.1.1.1 24

[R1-GigabitEthernet4/0/0]q

[R1]acl 3000

[R1-acl-adv-3000]rule 10 permit ip source 192.168.3.0 0.0.0.255 destination 192. 168.4.4 0

[R1-acl-adv-3000]rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 192.16.4.4 0

[R1-acl-adv-3000]rule 30 deny ip source 12.1.1.0 0.0.0.255 destination 192.168.4.4 0

[R1-acl-adv-3000]q

[R1]int g0/0/2

[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 3000

（2）R2配置

<Huawei>sys

[Huawei]sys R2

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24

[R2]ip route-static 0.0.0.0 0 12.1.1.1

（3）用PC1 PC2 R2 ping Server1验证

用PC1 和 R2 ping Server1不通，PC2可以，实验验证成功。