华为路由器 高级ACL配置

高级ACL

与基本ACL相比，高级ACL提供了更准确、丰富、灵活的规则定义方法。比如根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。

高级 ACL 接口调用方向的建议

高级 ACL 尽量调用在离源头最近的入站方向

需求描述：

• 禁止Client1访问PC3
• 允许Client2访问Sever1服务器80端口

拓扑图

1、交换机 SW1 设置

<Huawei>sys
[Huawei]un in en
[Huawei]sys SW1

# 创建VLAN
[SW1]vlan batch 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]p l a
[SW1-Ethernet0/0/1]p d v 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]p l a
[SW1-Ethernet0/0/2]p d v 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]p l t
[SW1-Ethernet0/0/3]p t a v 10 20

2、路由器 R1 设置

<Huawei>sys
[Huawei]
[Huawei]un in en
[Huawei]sys R1

# 单臂路由方式配置与 SW1 交换机连接口
[R1]int g0/0/0.10
[R1-GigabitEthernet0/0/0.10]dot1q ter vid 10
[R1-GigabitEthernet0/0/0.10]ip addr 192.168.10.254 24
[R1-GigabitEthernet0/0/0.10]arp bro en
[R1-GigabitEthernet0/0/0.10]int g0/0/0.20
[R1-GigabitEthernet0/0/0.20]dot1q ter vid 20
[R1-GigabitEthernet0/0/0.20]ip addr 192.168.20.254 24
[R1-GigabitEthernet0/0/0.20]arp bro en
[R1-GigabitEthernet0/0/0.20]quit

# 配置与 SW2 交换机连接口IP
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]ip addr 10.0.0.254 24

3、路由器设置 高级ACL

# 创建 ACL 3000
[R1]acl 3000

# 禁止来源地址 192.168.10.0 网段访问 10.0.0.1（IP协议）
[R1-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 10.0.0
.1 0

# 禁止来源地址 192.168.20.0 网段访问 10.0.0.2 服务器80端口 （TCP协议）
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.0
.0.2 0.0.0.0 destination-port eq 80

# 允许其它IP访问
[R1-acl-adv-3000]rule 15 permit ip source any 


# g0/0/0 入站方向 绑定 acl
[R1-acl-adv-3000]int g0/0/0
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]traffic-filt inbound acl 3000

4、测试

 （1）Client1 无法访问 PC3

（2）Client2 无法访问 Server1服务器 HTTP 80端口