24-ACL操作

浅谈交换机ACL配置1.ACL定义:ACL(Access Control List)指访问控制列表,通常用来规划网络中的访问层次.以期达到优化网络流量,加强网络安全的作用.ACL可以通过Web方式或者命令行方式配置,一般推荐使用命令行方式.因为每一张ACL都是由具体的一条条规则组成,命令行配置方式更有助于管理员在配置时理清思路.常用方法是先将命令用写字板输入好,检查无误后再导入交换机,绑定在具体的端口上.ACL可以绑定在物理端口上,也能绑定在虚拟接口上,如Vlan接口.ACL配置的命令格式:在全局配置模式下: access-list <ACL名称> permit/deny <协议类型> <源IP地址> <源地址掩码> <目的IP地址> <目的地址掩码>进入接口配置模式,绑定已配置的ACL:interface vlan 1ip access-group <ACL名称>或者:interface ethernet 1/g24ip access-group <ACL名称> in 12.配置ACL的注意事项:(1)每个ACL表的末尾都会隐含”deny”语句, 从而丢弃所有不符合规则的包;(2)源和目的的地址位掩码配置中,“0”代表精确匹配,”1”代表忽略该位.如允许来自192.168.1.0/24网段机器的访问,则其掩码是0.0.0.255;而针对具体主机的掩码,则是0.0.0.0;(3) 具有严格限制条件的语句应放在访问列表所有语句的最上面;(4)系统是按照顺序一条条去匹配ACL的规则,当发现匹配的规则后,它将忽略掉后面的语句;而如果发现ACL里所有语句均不匹配,那么默认将丢掉该数据包;(5).ACL所包含的规则在精不在多;配置具体规则时不光需要考虑该规则是否影响数据包传送,还必须考虑数据包能否返回.(6)ACL一旦绑定到具体端口上时,即可生效,所以以后每次对该ACL表做的任何更改,也就会立即生效;如果配置错误的规则就会对整个网络访问产生影响;(7)同一接口可以绑定多个ACL,此时需要给每个ACL设置相应的优先级;3.下面我们以实例加以说明:假定客户划分了Vlan 3和Vlan 5两个虚网,IP地址段分别是192.168.3.0/24和192.168.5.0/24,如下面针对Vlan3配置了名为”test”的ACL,使得其他网段的机器只能通过ICMP访问Vlan3.比如只能Ping通Vlan3的机器,但是无法正常访问.console(config)#access-list test permit icmp any 192.168.3.0 0.0.0.255console(config)#access-list test permit icmp 192.168.3.0 0.0.0.255 anyconsole(config)#interface vlan 3console(config-if-vlan3)#ip access-group test如果仅仅只能允许Vlan5的机器访问Vlan3:console(config)#access-list test permit ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255(仅仅配置这一条规则,Vlan3和Vlan5是不能通信的)console(config)#access-list test permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255(加上这一条规则,允许返回的数据包,这样才能实现Vlan3和Vlan5的通信)如果客户希望Vlan3与Vlan5能够相互通信,但是不希望双方的机器能够互ping,那么配置时必须注意语句的顺序:console(config)#access-list test permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#access-list test permit ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 console(config)#access-list test deny icmp 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#interface vlan 3console(config-if-vlan3)#ip access-group test以上的配置结果是:Vlan3与Vlan5能够相互通信,也能相互ping 通,说明第三条语句没有起作用.具有严格限制条件的语句应放在访问列表所有语句的最上面;调整为以下顺序后,目的就能达到了:console(config)#access-list test deny icmp 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#access-list test permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 console(config)#access-list test permit ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 console(config)#interface vlan 3console(config-if-vlan3)#ip access-group test这是因为:系统是按照顺序一条条去匹配ACL的规则,当发现匹配的规则后,它将忽略掉后面的语句;而如果发现ACL里所有语句均不匹配,那么默认将丢掉该数据包.也就是说,每个ACL的末尾都会隐含一"deny all"的规则.这一点在配置时需要非常注意.。

交换机配置〔三〕ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link.[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则. [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei<3>激活ACL.# 将traffic-of-link的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2三层ACL a>基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host.[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则.[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei<3>激活ACL.# 将traffic-of-host的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb>高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连.研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.定义时间－ACL规则创建－设定规则－激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day<2>定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver.[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则.[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei<3>激活ACL.# 将traffic-of-payserver的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号〔可以不作〕rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的：针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册.NE80的配置：NE80<config>#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号NE80<config>#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80<config-if-Ethernet1/0/0>#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置：NE16-4<config>#firewall enable all//首先启动防火墙NE16-4<config>#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp 端口号NE16-4<config-if-Ethernet2/2/0>#ip access-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434[Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置：旧命令行配置如下：6506<config>#acl extended aaa deny protocol udp any any eq 14346506<config-if-Ethernet5/0/1>#access-group aaa国际化新命令行配置如下：[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置：旧命令行配置如下：5516<config>#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516<config>#flow-action fff deny5516<config>#acl bbb aaa fff5516<config>#access-group bbb国际化新命令行配置如下：[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段. 8016产品的配置：旧命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#acl bbb aaa deny8016<config>#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#eacl bbb aaa deny8016<config>#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP：100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件.现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文.三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL〔number为5000到5999〕的交换机,可以配置ACL来进行ARP报文过滤.全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式.Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999.注意：配置Rule时的配置顺序,上述配置为先下发后生效的情况.在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文.三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址的16进制表示形式.2.下发ACL到全局[S3526E] packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤.二、组网图：参见图1和图2三、配置步骤：1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B 的mac <000d-88f8-09fa>,源ip是PC-D的ip<100.1.1.3>,目的ip和mac是网关〔3552P〕的,这样3552上就会学习到错误的arp,如下所示：--------------------- 错误arp表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上.但实际上交换机上学习到该ARP表项在E0/2.上述现象可以在S3552上配置静态ARP实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项.3.对于二层设备〔S3050C和S3026E系列〕,除了可以配置静态ARP外,还可以配置IP＋MAC＋port绑定,比如在S3026C端口E0/4上做如下操作：am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4端口绑定则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项.四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用.在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定.仅仅具有上述功能的交换机才能防止ARP欺骗.5,关于ACL规则匹配的说明a> ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类.此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用.ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等.b> ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类.此时ACL子规则的匹配顺序有两种：config〔指定匹配该规则时按用户的配置顺序〕和auto〔指定匹配该规则时系统自动排序,即按"深度优先"的顺序〕.这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序.用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序.只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序.ACL被软件引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等.。

•ACL ：Access Control List ，访问控制列表ACL••ACL由一条或多条规则组成•每条规则必须选择动作：允许或拒绝•每条规则都有一个id 序列号（默认=5，间隔=5）•ACL 工作原理：序列号越小越先进行匹配•只要有一条规则和报文匹配，就停止查找，称为命中规则•查找完所有规则，如果没有符合条件的规则，称为未命中规则•ACL创建后，必须将其应用到某个接口或其他技术内才会生效•应用在接口时必须选择方向：入站或出站（相对设备来判断）•每个接口在每个方向上只可应用一个ACL •不能过滤由设备自己产生的数据•••ACL类型：分为数字型ACL和命名型ACL。

•192.168.0.1 0.0.0.0/0匹配一个主机地址192.168.0.0 0.0.0255匹配一个网段正掩码、反掩码、通配符区别：192.168.0.1 0.0.0.254匹配网段内奇数地址192.168.0.0 0.0.0.254匹配网段内偶数地址any=0.0.0.0 255.255.255.255匹配所有地址•acl 2000创建一个基本ACL rule 5deny/permit source 192.168.1.0 0.0.0.255配置ACL 的规则：拒绝或允许源地址为192.168.1.0/24网段内的所有流量acl 3000创建一个高级ACLrule 5deny/permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0destination-port eq 80配置ACL 的规则：拒绝或允许源地址为192.168.1.0/24网段内到8.8.8.8的HTTP 流量traffic-filter inbound/outbound acl 2000在接口调用ACL 过滤流量display acl 2000验证ACLdisplay traffic-filter applied-record查看设备上所有基于ACL 调用情况•ACL配置：••••基本ACL 尽量调用在离目标最近的出站接口•高级ACL 尽量调用在离源头最近的入站接口••ACL 接口调用方向的建议：。

ACL规则细则范文ACL（Access Control List）规则细则是用于网络设备中实现网络访问控制的重要组成部分，ACL的作用类似于网络的“门禁”，通过限制进出网络的流量，保证网络的安全性和可靠性。

在ACL规则细则中，我们需要定义哪些流量允许通过，哪些流量需要被阻塞。

下面将详细介绍ACL规则细则的内容。

一、ACL规则细则的组成3.目标地址：指出数据包的目标地址或地址范围，可以是单个IP地址、网段或者主机名。

4.目标端口：指出数据包的目标端口，可以是指定的端口号或者端口范围。

5.协议类型：指出数据包使用的协议类型，例如TCP、UDP、ICMP等。

6. 动作：指出符合该规则的数据包应该执行的操作，可以是允许通过（permit）、阻塞（deny）或者其他。

二、ACL规则细则的编写原则在编写ACL规则细则时，需要遵循以下原则：1.先阻塞后允许：当存在多条ACL规则互斥的情况时，应该按照先阻塞后允许的原则编写规则，即先编写阻塞规则，再编写允许规则。

因为ACL会按照规则的顺序进行匹配，一旦匹配成功，后续的规则将不再生效。

3.避免冗余：避免编写冗余的ACL规则，即重复指定相同的访问控制条件和动作，这样会浪费ACL的匹配资源，并且容易引发规则冲突和混乱。

三、ACL规则细则的编写示例下面通过一个简单的示例来说明如何编写ACL规则细则：假设有一个企业内部网络，网络地址为192.168.1.0/24，需要实现以下ACL规则细则：1.允许内部网络的主机访问外部网络的HTTP和HTTPS服务。

2.阻塞内部网络的主机访问外部网络的FTP服务。

3.允许特定的IP地址从外部网络访问内部网络的SSH服务。

4.阻塞所有主机对内部网络的PING请求。

5.允许特定的主机对内部网络进行所有服务的访问。

基于以上需求，我们可以编写如下的ACL规则细则：1. permit IP 192.168.1.0/24 any destination-port 80,443 protocol TCP action permit2. deny IP 192.168.1.0/24 any destination-port 20,21 protocol TCP action deny3. permit IP any 192.168.1.0/24 destination-port 22 protocol TCP source-address 10.0.0.1 action permit4. deny IP any 192.168.1.0/24 protocol ICMP action deny5. permit IP 10.0.0.2 any destination-address 192.168.1.0/24 action permit通过以上ACL规则细则，可以实现对网络流量的精确控制，确保网络的安全性和可靠性。

acl规则的配置命令-回复ACL（Access Control List）是一种网络安全应用程序，用于控制数据包的流动。

通过使用ACL，可以定义哪些网络流量被允许通过网络设备，并决定禁止的流量。

在本篇文章中，我们将详细介绍ACL规则的配置命令，并提供一步一步的指导。

一、了解ACL规则ACL规则用于限制或允许特定类型的网络流量通过网络设备。

每个规则由一个或多个条件组成，如果数据包满足这些条件，则会采取指定的操作。

这些条件通常包括源IP地址，目标IP地址，传输层协议等。

在进行ACL规则的配置之前，我们需要明确以下几点：1. 应用范围：我们需要确定ACL规则应用的范围，例如用于路由器的入口或出口，或者用于防火墙等设备。

2. 数据包类型：我们需要确定要过滤的数据包类型，例如IP数据包，ICMP 数据包等。

3. 预期操作：我们需要明确对数据包的操作，是允许通过还是禁止。

二、配置ACL规则以下是一些常用的配置ACL规则的命令：1. 进入特定接口的配置模式：# interface interface_name这个命令用于进入特定接口的配置模式，以便配置该接口的ACL规则。

2. 创建一个扩展ACL规则：# access-list acl_number {permit deny} protocol sourcesource_wildcard destination destination_wildcard [option]这个命令用于创建一个扩展ACL规则，acl_number是规则的编号，后面是规则的定义，包括协议类型、源IP地址、目标IP地址等。

permit表示允许通过，deny表示禁止通过。

3. 将ACL规则应用到接口：# ip access-group acl_number {in out}这个命令用于将ACL规则应用到指定接口，in表示入口方向，out表示出口方向。

4. 检查ACL规则：# show access-lists这个命令用于检查已配置的ACL规则，可以查看ACL规则的编号、具体条件和操作。

H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

对于ACL，可能很多用户还不熟悉怎么设置，本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图，创建四个vlan，对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为，确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略，将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明：l acl只是用来区分数据流，permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier;l 将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

acl规则编号【实用版】目录1.ACL 规则简介2.ACL 规则编号的作用3.ACL 规则编号的构成4.ACL 规则编号的示例5.ACL 规则编号的实际应用正文一、ACL 规则简介ACL（Access Control List，访问控制列表）是一种用于控制网络通信访问的技术，通常用于防火墙、路由器等设备中，以限制特定网络流量的访问。

ACL 规则用于定义允许或拒绝特定网络流量的访问策略。

二、ACL 规则编号的作用ACL 规则编号是一种唯一标识符，用于区分不同的 ACL 规则。

在网络设备中，通常会有多个 ACL 规则，每个规则用于控制不同类型的网络流量。

通过使用不同的规则编号，可以方便地管理和配置 ACL 规则。

三、ACL 规则编号的构成ACL 规则编号通常由数字和字母组成，格式为“数字。

字母”。

数字部分用于表示规则的优先级，字母部分用于表示规则的类型。

优先级和类型的具体定义可能因厂商和设备而异。

四、ACL 规则编号的示例例如，在一个网络设备中，可能有如下 ACL 规则：- 规则 1：允许从 192.168.1.0/24 网络访问 172.16.0.0/16 网络的 SSH 服务- 规则 2：拒绝从 192.168.1.0/24 网络访问 172.16.0.0/16 网络的 HTTP 服务对应的 ACL 规则编号可能为：1.SSH 和 2.HTTP。

五、ACL 规则编号的实际应用在实际网络环境中，ACL 规则编号对于管理和配置网络访问控制非常重要。

通过使用不同的规则编号，网络管理员可以轻松地配置和调整 ACL 规则，以满足不同的网络访问需求。

第1页共1页。

华为基本ACL的编号范围1. 什么是ACL？ACL（Access Control List）即访问控制列表，是一种用于网络设备中实现安全策略的技术。

ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而限制网络流量的进出。

华为基本ACL是华为公司在其网络设备上实现的一种基本访问控制列表。

它允许管理员通过配置规则来限制或允许特定类型的数据包通过网络设备。

2. 华为基本ACL编号范围在华为设备上，每个ACL规则都有一个唯一的编号，用于标识该规则。

华为基本ACL规则的编号范围是1-3999。

其中，1-199表示标准ACL规则，200-299表示扩展ACL规则，300-399表示高级ACL规则。

2.1 标准ACL标准ACL是最简单和最常用的一种ACL类型。

它只能根据源IP地址来过滤数据包，并且只能对IP头部进行匹配操作。

标准ACL规则的编号范围是1-199。

管理员可以根据需要自定义标准ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例标准ACL配置：acl number 10rule 10 permit source 192.168.1.0 0.0.0.255rule 20 deny source any上述配置中，ACL编号为10的标准ACL规则允许源IP地址为192.168.1.0/24的数据包通过，拒绝其他源IP地址的数据包通过。

2.2 扩展ACL扩展ACL相比标准ACL更为灵活，可以根据源IP地址、目的IP地址、协议类型、端口号等条件来过滤数据包，并且可以对TCP和UDP头部进行精确匹配操作。

扩展ACL规则的编号范围是200-299。

管理员可以根据需要自定义扩展ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例扩展ACL配置：acl number 2000rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination any eq wwwrule 10 deny ip source any destination any上述配置中，ACL编号为2000的扩展ACL规则允许源IP地址为192.168.1.0/24、目的端口号为80（HTTP）的TCP数据包通过，拒绝其他类型的数据包通过。

acl规则的配置命令-回复ACL（Access Control List）是一种网络安全性配置，用于控制网络设备的流量过滤和访问控制。

它可以根据不同的条件来限制特定的网络流量，并决定是否允许或拒绝该流量通过网络设备。

在本文中，我们将详细介绍如何配置ACL规则的命令。

配置ACL规则的命令可以在不同厂商的网络设备上有所不同。

本文将以思科（Cisco）网络设备为例，介绍如何配置ACL规则的命令。

首先，登录到思科网络设备的命令行界面。

这可以通过一个终端仿真软件（如TeraTerm、PuTTY等）连接到设备的控制台端口，或通过SSH远程连接到设备的IP地址来完成。

一旦成功登录到设备的命令行界面，可以使用以下命令来配置ACL规则：1. 创建一个命名的ACL：config tip access-list <ACL名称>这将进入全局配置模式，然后创建一个以指定名称命名的ACL。

该名称将用于区分不同的ACL规则。

2. 添加允许或拒绝的规则：permit deny <源地址> <源地址掩码> <目的地址> <目的地址掩码> <协议> <源端口> <目的端口>这个命令用于向ACL规则中添加一个允许或拒绝的规则。

可以根据需要指定源地址，目的地址，协议，源端口和目的端口。

例如，要允许从192.168.1.0/24网段访问到10.0.0.0/24网段的全部协议和端口，使用以下命令：permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255使用`deny`关键字可以创建一个拒绝规则，例如：deny tcp any host 10.0.0.1 eq 80这将拒绝所有源地址的TCP流量访问目标地址为10.0.0.1的80端口。

3. 应用ACL规则到接口：interface <接口名称>ip access-group <ACL名称> {in out}这个命令用于将ACL规则应用到指定接口。

路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。

什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

ACL 基本访问控制列表1 功能需求及组网说明『配置环境参数』路由器RTA 模拟整个企业网，用另一台路由器RTB 模拟外部网；RTA 与SWA 相连，RTB 与SWB 相连;RTA 与RTB 通过串口互连；路由器与主机IP 地址如上图所示。

『组网需求』学习配置基本访问控制列表，灵活设计防火墙；只允许PCA 访问外部网络，其余主机均不能访问外部网。

2 数据配置步骤【RTA 路由器配置】<RTA><RTA>system-view192.0.0.1/24 202.0.0.2/24 202.0.0.3/24 202.0.1.2/24 202.0.1.3/24 192.0.0.2/24[RTA]interface GigabitEthernet 0/0[RTA-GigabitEthernet0/0]ip address 202.0.0.1 24[RTA-GigabitEthernet0/0]quit[RTA]interface Serial 1/0[RTA-Serial1/0]ip address 192.0.0.1 24[RTA-Serial1/0]quit[RTA]firewall enable //启动防火墙功能[RTA]firewall default permit[RTA]acl number 2000[RTA-acl-basic-2000]rule 0 permit source 202.0.0.2 0//允许特定主机访问外部网络[RTA-acl-basic-2000]rule 1 deny source 202.0.0.0 0.0.0.255//禁止其他主机访问外部网络[RTA-acl-basic-2000]quit[RTA]interface Serial 1/0[RTA-Serial1/0]firewall packet-filter 2000 outbound //使访问列表生效//ACL outbound_filter被应用到外网口的out方向，//ACL inbound_filter被应用到外网口的in方向，//in和out不能搞混[RTA]rip //启动路由协议[RTA-rip-1]network 192.0.0.0[RTA-rip-1]network 202.0.0.0[RTA-rip-1]quit[RTA]【RTB路由器配置】<RTB><RTB>system-view[RTB]interface GigabitEthernet 0/0[RTB-GigabitEthernet0/0]ip address 202.0.1.1 24[RTB-GigabitEthernet0/0]quit[RTB]interface Serial 1/0[RTB-Serial1/0]ip address 192.0.0.2 24[RTB-Serial1/0]quit[RTB]rip[RTB-rip-1]network 202.0.1.0[RTB-rip-1]network 192.0.0.0[RTB-rip-1]quit[RTB]【补充说明】1.系统缺省情况下为禁止防火墙（firewall disable），需要使用命令“firewall enable”来使能防火墙功能2.防火墙缺省过滤方式为允许通过（permit），可以通过“firewalldefault deny”修改为禁止通过3.在设置防火墙时，一般选择在路由器的出口，可以使用firewallpacket-filter 2000 outbound来使防火墙生效；试在G0/0口使用firewall packet-filter 2000 inbound命令，观察实验结果；4.试在RTB上完成该项功能。

ACL访问控制列表配置实例分享ACL（Access Control List）访问控制列表是用于控制网络设备的数据流动和访问权限的一种重要网络安全技术。

通过配置ACL，我们可以限制特定IP地址或IP地址段的访问，实现对网络资源的精细化控制。

本文将分享ACL访问控制列表的配置实例，以帮助读者更好地理解和应用ACL技术。

一、ACL基础知识回顾在介绍ACL的配置实例之前，先回顾一下ACL的基础知识。

ACL分为标准ACL和扩展ACL两种类型。

标准ACL仅能根据源IP地址进行过滤，而扩展ACL则可以根据源IP地址、目的IP地址、端口号等多种条件进行过滤。

根据实际应用场景选择合适的ACL类型进行配置。

ACL配置中使用的关键字有：permit（允许通过），deny（拒绝通过），any（任意），host（主机），eq（等于），range（范围），log （记录日志）等。

具体配置过程根据不同网络设备和操作系统的差异而有所差异，本文以常见网络设备为例进行实例分享。

二、标准ACL配置实例标准ACL适用于仅按照源IP地址进行过滤的场景，下面是一个标准ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个标准ACL，命名为“ACL_Standard”。

3. 指定允许或拒绝访问的源IP地址段，例如192.168.1.0/24。

4. 应用ACL到指定的接口，例如应用到GigabitEthernet0/0接口。

5. 保存配置并退出。

三、扩展ACL配置实例扩展ACL可根据源IP地址、目的IP地址、端口号等多种条件进行过滤，适用于更为复杂的网络环境。

以下是一个扩展ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个扩展ACL，命名为“ACL_Extended”。

3. 指定允许或拒绝访问的源IP地址、目的IP地址、端口号等条件，例如允许源IP为192.168.1.0/24的主机访问目的IP为10.0.0.1的主机的HTTP服务（端口号为80）。

ACL的使用ACL的处理过程：1、语句排序一旦某条语句匹配，后续语句不再处理。

2、隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包要点：ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

如果在语句结尾增加deny any的话可以看到拒绝记录Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

华为路由的ACL的配置华为3COM的ACL一直一来都比较麻烦，不同版本、不同型号的设备都有些不同。

下面我以3900设备为例，说明ACL的配置和执行技巧。

总结一句话：rule排列规则和auto、config 模式有关，而匹配顺序则和ACL应用环境和下发到端口的循序有关。

规律说明：1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序（可以通告dis aclall查看rule的循序，出现4－2－3－0－1很正常）。

config模式根据用户配置循序排列rule的循序。

也就是说auto和config只是rule的排列顺序有关，与匹配顺序无关。

2、不管是auto模式还是config模式，当ACL应用于包过虑和QOS时，匹配循序是从下往上，但是应用于VTY 用户过虑等责是从上往下匹配。

3、不管是auto模式还是config模式，ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。

4、在一个ACL里同时有多条rule匹配，则按照最长匹配优先执行。

包过虑ACL举例说明：禁止10.10.10.145这台PC上网允许10.10.10.0/24网段上网允许192.168.0.0/16网段上网禁止所有IP配置方法一：配置ACL（需要严格按照配置顺序配置）acl num 3000 mach configrule den iprule permit ip sour 192.168.0.0 0.0.255.255rule permit ip sour 10.10.10.0 0.0.0.255rule deny ip sour 10.10.10.145 0下发ACL到端口int e 1/0/1pack in ip 3000配置方法二：配置ACL（配置循序随便）acl num 3001 mach autorule permit ip sour 10.10.10.0 0.0.0.255rule den iprule deny ip sour 10.10.10.145 0rule permit ip sour 192.168.0.0 0.0.255.255下发ACL到端口int e 1/0/2pack in ip 3001 rule 0（必需先应用rule 0，否则全部都是禁止）pack in ip 3001配置输出：acl number 3000（排列顺序为0－1－2－3，按配置顺序排列）rule 0 deny iprule 1 permit ip source 192.168.0.0 0.0.255.255rule 2 permit ip source 10.10.10.0 0.0.0.255rule 3 deny ip source 10.10.10.145 0acl number 3001 match-order auto（排列顺序为3－1－2－0，按掩码排列）rule 3 deny ip source 10.10.10.145 0rule 1 permit ip source 10.10.10.0 0.0.0.255rule 2 permit ip source 192.168.0.0 0.0.255.255rule 0 deny ip#vlan 1#interface Aux1/0/0#interface Ethernet1/0/1（排列顺序为0－1－2－3，和ACL顺序一样）packet-filter inbound ip-group 3000 rule 0packet-filter inbound ip-group 3000 rule 1packet-filter inbound ip-group 3000 rule 2packet-filter inbound ip-group 3000 rule 3#interface Ethernet1/0/2（排列顺序为0－3－1－2，和ACL顺序不一样）packet-filter inbound ip-group 3001 rule 0packet-filter inbound ip-group 3001 rule 3packet-filter inbound ip-group 3001 rule 1packet-filter inbound ip-group 3001 rule 2标准访问列表命令格式如下：acl <acl-number> [match-order config|auto] // 默认前者顺序匹配rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]例：[Quidway]acl 10[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255[Quidway-acl-10]rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any} [operate]配置ICMP协议的扩展访问列表：rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any] [icmp-code] [logging]扩展访问控制列表操作符的含义equal portnumber //等于greater-than portnumber //大于less-than portnumber //小于not-equal portnumber //不等range portnumber1 portnumber2 //区间扩展访问控制列表举例[Quidway]acl 101[Quidway-acl-101]rule deny souce any destination any[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo [Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply [Quidway]acl 102[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0 [Quidway-acl-102]rule deny ip source any destination any[Quidway]acl 103[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www[Quidway]firewall enable[Quidway]firewall default permit|deny[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound。

Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码） Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型） 192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围 start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

ACL访问控制列表一、实验拓扑图:GW:10.1.2.1GW:10.1.3.1二、操作步骤：实验1：实验目标：禁止PC A 访问server，允许其他PC 访问server. 3228的配置ZXR10#vlan databaseZXR10(vlan)#vlan 2ZXR10(vlan)#vlan 3ZXR10(vlan)#vlan 4ZXR10(vlan)#exitZXR10#conf tZXR10(config)#interface fei_1/1ZXR10(config-if)#switchport mode accessZXR10(config-if)#switchport access vlan 2ZXR10(config-if)#exitZXR10(config)#interface fei_1/2ZXR10(config-if)#switchport mode accessZXR10(config-if)#switchport access vlan 3ZXR10(config-if)#exitZXR10(config)#interface fei_1/10ZXR10(config-if)#switchport mode accessZXR10(config-if)#switchport access vlan 4ZXR10(config-if)#exitZXR10(config)#interface vlan 2ZXR10(config-if)#ip add 10.1.2.1 255.255.255.0ZXR10(config-if)#exitZXR10(config)#interface vlan 3ZXR10(config-if)#ip add 10.1.3.1 255.255.255.0ZXR10(config-if)#exitZXR10(config)#interface vlan 4ZXR10(config-if)#ip add 10.1.1.1 255.255.255.0ZXR10(config-if)#exitZXR10(config)#acl extend number 100ZXR10(config-ext-acl)#rule 1 deny ip 10.1.2.100 0.0.0.0 10.1.1.100 0.0.0.0 //第一个ip地址为源ip，后面跟着通配符；后一个ip地址为目的地址，跟着为通配符ZXR10(config-ext-acl)#rule 2 permit ip any any----允许除RULE 1 的IP地址之外的其他所有IP地址ZXR10(config-ext-acl)#exitZXR10(config)#interface fei_1/1--------进入接口应用访问控制列表ZXR10(config-if)# ip access-group 100 in------在进方向设置ACL列表ZXR10(config-if)#exit实验1验证方法：观察实验结果1、show acl 查看全部acl配置情况2、PC-A ping server，是否可以ping通?3、PC-B ping server，是否可以ping通?实验2：实验目标：只允许 PC A telnet 3928交换机Telnet, 禁止所有其他PC telnet3928的配置ZXR10(config)#username ZTE password ZTEZXR10(config)# acl standard number 1ZXR10(config-ext-acl)# rule 1 permit 10.1.2.100 0.0.0.0---唯一匹配ZXR10(config-ext-acl)#exitZXR10(config)# line telnet access-class 1实验2验证方法：观察实验结果1、show acl 查看全部acl配置情况2、PC-A telnet T64G，是否可以登录上。