作者主页：点击！

ENSP专栏：点击！

创作时间：2024年4月5日10点45分

基本ACL的简介

华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤，配置简单，但功能有限。

ACL的匹配规则

ACL匹配规则

步骤：

1. 检查是否存在ACL

   • 如果不存在，则匹配结果为“不匹配”。
   • 如果存在，则继续下一步。

2. 检查是否存在规则

   • 如果不存在，则匹配结果为“不匹配”。
   • 如果存在，则继续下一步。

3. 分析第一条规则

   • 判断报文是否命中该规则。
   • 如果命中：
     • 判断规则动作是“允许”还是“拒绝”。
       • 如果是“允许”，则匹配结果为“允许”。
       • 如果是“拒绝”，则匹配结果为“拒绝”。
   • 如果未命中：
     • 判断是否存在其他规则。
       • 如果存在，则继续分析下一条规则。
       • 如果不存在，则匹配结果为“不匹配”。

4. 重复步骤3，直到分析完所有规则

5. 根据分析结果，确定最终匹配结果

规则匹配顺序：

• 配置顺序：按照规则编号从小到大的顺序进行匹配。
• 优先级顺序：按照规则优先级从高到低的顺序进行匹配。

默认情况下，ACL使用配置顺序进行匹配。

注意事项：

• ACL匹配遵循“一旦命中即停止匹配”的原则。
• 如果报文未命中任何规则，则最终匹配结果为“不匹配”。

基本acl的配置步骤

 创建acl

acl number

其中，number为acl的编号，范围为2000～2999。

 进入acl视图

acl number

配置acl规则

rule rule-number [permit | deny] source source-address [mask mask-addre

其中：

• rule-number为规则的编号。
• permit表示允许数据包通过。
• deny表示拒绝数据包通过。
• source-address为源IP地址。
• mask为源IP地址掩码。
• mask-address为反掩码，用于精确匹配。

基本acl的应用示例:

AR1的基本配置

基本的IP配置还有默认路由 先实现全网互通

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/2]
int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 6.6.6.6 255.255.255.0


[Huawei]ip route-static 0.0.0.0 0 6.6.6.7

AR2的基本配置

基本的配置实现全网互通

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 6.6.6.7 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.4.1 255.255.255.0

[Huawei]ip route-static 0.0.0.0 0 6.6.6.6
[Huawei]

实验前测试

PC4来访问PC3

PC4来访问PC6

实验要求

接下来我们在AR1上做acl策略来限制流量

拒绝192.158.1.2 来访问 192.168.3.2

但是可以访问同一网段的 192.168.3.3

AR1的acl策略

[Huawei]acl 2000
[Huawei-acl-basic-2000]dis this
	
//拒绝来自源 IP 地址为 192.168.3.2 的所有数据包。
[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0


//允许来自源 IP 地址为 192.168.4.0/24 的所有数据包通过。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255



rule 10：这表示你正在配置 ACL 2000 中的第十条规则。
permit：这表示你将允许符合这条规则条件的数据包通过。
source 192.168.4.0 0.0.0.255：这指定了匹配此规则的数据包的源 IP 地址。在这种情况下，源 IP 地址范围是 192.168.4.0/24，后面的 0.0.0.255 是通配符，表示允许该网段下的所有 IP 地址。

拒绝访问详解

[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0
rule 5：这表示你正在配置 ACL 2000 中的第五条规则。
deny：这表示你将拒绝符合这条规则条件的数据包通过。
source 192.168.3.2 0：这指定了匹配此规则的数据包的源 IP 地址。在这种情况下，源 IP 地址是 192.168.3.2，后面的 0 是通配符，表示仅匹配该具体 IP 地址。

允许访问详解

[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255

rule 10：这表示你正在配置 ACL 2000 中的第十条规则。
permit：这表示你将允许符合这条规则条件的数据包通过。
source 192.168.4.0 0.0.0.255：这指定了匹配此规则的数据包的源 IP 地址。在这种情况下，源 IP 地址范围是 192.168.4.0/24，后面的 0.0.0.255 是通配符，表示允许该网段下的所有 IP 地址。

应用acl策略

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
[Huawei-GigabitEthernet0/0/1]

这个命令的含义是：将 ACL 2000 应用到 GigabitEthernet0/0/1 接口的入方向，这意味着 ACL 2000 中的规则将用于过滤进入该接口的数据包，根据 ACL 规则的匹配情况来决定是否允许或拒绝这些数据包通过接口。

实验后测试

PC4（192.168.1.2） 访问 PC3（192.168.3.2） 

经过测试发现无法访问（符合实验要求）

PC4（192.168.1.2） 访问 PC6（192.168.3.3） 

经过测试发现可以访问（符合实验要求）