华为网络设备安全访问，访问控制列表ACL,理论+实战，两分钟掌握 _华为

企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能稳定。
访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
一、ACL应用场景
ACL可以通过定义规则来允许或拒绝流量的通过

文章插图

二、ACL分类

文章插图

1、一个ACL可以由多条“deny | permit”语句组成，每一条语句描述了一条规则。
2、设备收到数据流量后，会逐条匹配ACL规则，看其是否匹配。如果不匹配，则匹配下一条。一旦匹配，则执行规则中定义的动作，并不再继续与后续规则进行匹配。如果找不到匹配的规则，则设备不对报文进行任何处理。
3、规则的匹配顺序决定了规则的优先级，ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。
4、ARG3系列路由器支持两种匹配顺序：配置顺序和自动排序。配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。通过设置步长，使规则之间留有一定的空间。默认步长是5 。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序。
通配符掩码：
0 ---表示匹配
1 ---表示忽略
ACL 用于匹配流量默认隐含一条permit any，用于匹配路由默认隐含一条deny any
欢迎系统学习华为网络朋友以下专栏视频进行学习，完整系统，讲解细致理论配合实战讲解，适合从零基础学网络的朋友！万丈高楼平地起，根基非常重要！

三、ACL配置

文章插图

基本ACL：针对源地址，靠近目的端配置
AR2进行配置：

文章插图

[AR2]interface GigabitEt
hernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

文章插图

PC1可以访问服务器

文章插图

192.168.2.0网段无法访问服务器

文章插图

高级ACL：一般靠近源端
[AR1]acl number 3000
[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0
[AR1-acl-adv-3000]int g 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000