9.4-基本ACL和高级ACL（下）

*实验示例均以华为的设备为例，部分实验在ENSP模拟器实现，部分为真机实现

实验工程文件下载 https://download.csdn.net/download/i12344/85189719

实验1要求：在R2上配置高级ACL，拒绝PC1和PC2 ping Server但允许http访问

基础配置：IP地址和静态路由使图1网络互通（略）

ACL配置：

[R2]acl number 3000
[R2-acl-adv-3000]rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
#只有报文是①icmp、且②源IP地址是192.168.10.x、且③目的IP地址是172.16.10.2才会被拒绝，需同时满足三个条件才会被匹配
[R2-acl-adv-3000]int g0/0/1 
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

实验1结果：

PC1和PC2均无法ping通Server

但是可以通过http访问Server服务器

实验2要求：拒绝192.168.10.2 telnet访问12.1.1.2

ACL配置：

[R2]acl number 3005
[R2-acl-adv-3005]rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq 23
[R2-acl-adv-3005]dis this
[V200R003C00]
#
acl number 3005  
 rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port e
q telnet 
#
return
[R2-acl-adv-3005]qu
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3005

R2上配置telnet用户：

[R2]telnet server enable 
[R2]aaa	
[R2-aaa]local-user abc privilege level 3 password cipher 123	
[R2-aaa]local-user abc service-type telnet
[R2-aaa]qu
[R2]user-interface vty 0 4 
[R2-ui-vty0-4]authentication-mode aaa

实验2结果：

R1可以Telnet到R2（如图4），PC却无法telnet到R2

其他高级ACL配置举例（无实验）：

1）允许源IP地址172.16.1.1的PC访问172.16.2.1，其余报文全部拒绝

ACL 3008
rule 5 permit ip source 172.16.1.1 0 destination 172.16.2.1 0
rule 10 deny ip

2）拒绝任何人上QQ客户端（传输层 UDP 8000端口）

ACL 3101
rule 5 deny udp destination-port eq 8000

注：⑴如果ACL没有被调用，该ACL不起任何作用

⑵ACL属于三层技术，只能部署在三层设备上，ACL适合用于不同网段互访的访问控制

⑶相同vlan相同网段PC互访控制不适合ACL，建议使用端口隔离