华为交换机配置ACL （访问控制列表）

大家有没有常常遇到这样的需求 ，公司财务的电脑 不能允许普通用户访问，或者说给客户用的WIFI网络不能访问公司正常办公网络，实则这个需求直接用ACL 搞定。（此方法耗时约1分钟搞定）

一、第一什么是ACL

1、定义：简单来说ACL是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

2、ACL的分类

基本ACL 编号2000-2999 ，如果看到编号是这个范围的，那就是基本的acl ，简称简单粗暴型的 使用源地址 来定义是否能访问。

高级ACL 3000-3999 ，这个是用的最多的 。使用源地址，目的地址 以及端口号 ，协议类型等。例如不允许访问财务网段，但允许访问他们网段的一个ftp服务。这个是就可以用高级ACL

3、动作

rule deny ip 表明拒绝通过

rule permit 表明允许 。记住这两个

4、优先级（或者叫规则编号，不同于ACL编号 2000 ，2001，2002这个叫acl编号）

和优先级小 越先生效。官方说：ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。

5、在哪里生效

在哪个接口调用。一般在最近的一个出口，这样匹配到直接就干掉了，不用傻傻的把数据交到下个地方再去判断了 ，就相当于开车上高速，我直接在高速入口判断你能不能上高速，不能上就给你拦停下来了，能上就放你过去了。

举个简单的例子

ACL nema test 2000

rule 5 permit source 192.168.1.0 0.0.0.255

rule 10 permit source 192.168.2.0 0.0.0.255

[SW1]int g0/0/0

[SW1-GigabitEthemet0/0/0]traffic-filter inbound ac 2000

官方介绍

二、举例

这个网络例如192.168.1.0 网段不能telnet 192.168.2.0网段，但是能ping 通 。（实际应用中FTP，或者邮件、dns等等端口都比较常见，根据实际修改）

基本配置略过 ，不会的可以翻看我的置顶 。

[LSW1] acl 3000 （可以看图详解）

[LSW1acl-adv-3000] rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.0 destination-port eg 23

[LSW1-acl-adv-3000] rule permit ip

[LSW1-acl-adv-3000] int g0/0/1

[LSW1-GigabitEthemet0/0/1] traffic-filter inbound acl 3000

另外如果要查询，可以用dis命令查询 dis acl 3000

这个是我这边生产环境的配置

为什么会有0.0.0.255 ，这个是反掩码，另外还有如果不写 或者为空的地方 是代表所有么 ，为什么有的地方又是255.255.255.0 呢，还有0.0.0.0 这些特殊的地方，大家可以研究一下。

另外这才是acl的基本应用 ，还有更多什么自反ACL 、流量抑制、风暴、arp等 和安全方面关联很大 ，大家徐徐渐进