华为eNSP实验3、acl访问控制列表

3、acl访问控制列表：
acl访问控制列表主要分为3类：
1、基本访问控制列表（2000-2999）只能针对source ip地址进行限制
2、告警访问控制列表（3000-3999）可以针对源ip、目的ip、源端口、目的端口进行限制
3、二层访问控制列表（4000-4999）可以针对二层数据帧进行控制。
本文主要进行基本访问控制列表及告警访问控制列表的实验。
实验拓扑如下：

路由器AR1 接口GE0/0/0为G1.1.1.0/24的GW；GE0/0/1的接口为8.8.8.0/24的GW。



华为设备默认对acl没有匹配到的数据流量进行放行。因此，在不想让其他流量通过时，需要在最后的写deny ip source any destination any。
icmp 协议号为1
ftp传输层协议为tcp
www 传输层协议为tcp 端口为80端口
acl一定要调用到接口下才会生效。
基本acl语法：
acl 2000 rule 1 permit ip source 1.1.1.1 0 其中0表示反掩码0.0.0.0，表示精确匹配这一个地址。0.0.0.255表示精确匹配前24bit。
rule 100 deny ip source 1.1.1.0 0.0.0.255

高级acl的语法：
acl 3000 rule 10 permit tcp source 1.1.1.0 0.0.0.255 destination 8.8.8.8 destination-port eq 80.
rule 100 deny ip
其中eq为=
gt为>
lt为<
range为一个范围。