华为USG_5160防火墙双出口+ipsec/l2tp ***真实案例

本案例是真实案例，以下所有配置和实施的时候只是ip不同而且，我把我配置的先后步奏和当时的想法都写下来分享给大家，希望能对需要的朋友有点帮助和启发！本文全手工录入，有些地方为了表达我的意思，可能会啰嗦了些，如还有错别字也请多多谅解，如果有其他错误的地方千万要指出来，谢谢！

网络拓扑图如上！

需求：

1.公司内部分为4个vlan，vlan5是单独和防火墙相连的；vlan4是服务器专用；vlan3和vlan2为普通pc上网网段。

2.防火墙上面电信双出口：G0/0/0是服务器vlan4专用的线路，需要映射许多端口出去，并且和IDC机房建立Ipsec ***；剩余的普通pc全部走G0/0/1线路；并且建立L2TP ××× 并且作为LNS端，以便出差的员工能通过客户端在任何地点访问公司内部网络。

3.服务器上的一些端口除了映射到防火墙untrust区域的同时还要对内网的客户端提供同样地服务；公司总部和IDC机房内部也要能相互访问。

配置思路：

1.先配置好USG_A和USG_B的端口IP和DNS，还有各自的路由和nat，让双方能上外网并且能相互ping通。

2.配置好Ipsec ***，测试联通性；配置server nat，把服务器所需要映射的服务都发布好，测试联通性；

3.最后配置L2TP，并测试全部应用和联通性。

操作步骤

配置USG_A

#配置接口IP地址。

<USG_A> system-view

[USG_A] interface GigabitEthernet 0/0/0

[USG_A-GigabitEthernet0/0/2] ip address 30.30.30.124

[USG_A-GigabitEthernet0/0/2] quit

[USG_A] interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1] ip address 40.40.40.124

[USG_A-GigabitEthernet0/0/1] quit

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/1] ip address 192.168.5.25324

[USG_A-GigabitEthernet0/0/1] quit

# 将接口加入相应的安全区域。

[USG_A] firewall zone trust

[USG_A-zone-trust] add interfaceGigabitEthernet 0/0/3

[USG_A-zone-trust] quit

[USG_A] firewall zone untrust

[USG_A-zone-untrust] add interfaceGigabitEthernet 0/0/0

[USG_A-zone-untrust] quit

[USG_A] firewall zone untrust1

[USG_A-zone-untrust] add interfaceGigabitEthernet 0/0/1

[USG_A-zone-untrust] quit

# 配置Trust和Untrust、Untrust域间以及Untrust、Untrust1和Local域间的缺省包过滤。

[USG_A] firewall packet-filter defaultpermit interzone trust untrust

[USG_A] firewall packet-filter defaultpermit interzone trust untrust1

[USG_A] firewall packet-filter defaultpermit interzone local untrust

[USG_A] firewall packet-filter defaultpermit interzone local untrust1

注：其实这里包过滤完全可以精确匹配数据流的可惜当时这部分没时间仔细想好，双出口之间的数据流匹配有点绕，特别是两个口都有***，逻辑关系有点难理清，很容易出错的。所以默认全过去了，后来直接上生产环境了，直到现在都没改，等有合适的机会再精确匹配数据流吧。

# 配置缺省路由以及回局域网的路由。

[USG_A] ip route-static 0.0.0.0 0.0.0.030.30.30.254

[USG_A] ip route-static 0.0.0.0 0.0.0.040.40.40.254

[USG_A] ip route-static 192.168.0.00.0.255.255 192.168.5.254

由于是双出口两条默认路由都是等价的，而要满足总部的需求vlan4走G0/0/0,vlan2和vlan3走G0/0/1就必须写策略路由才行了。

先定义要调用的acl来匹配数据流：

[USG_A] acl 3001

[USG_A-acl-adv-3001] rule 5 permit ipsource 192.168.4.0 0.0.0.255

[USG_A-acl-adv-3001] quit

[USG_A] acl 3002

[USG_A-acl-adv-3002] rule 5 permit ipsource 192.168.2.0 0.0.0.255

[USG_A-acl-adv-3002] rule 10 permit ipsource 192.168.3.0 0.0.0.255

[USG_A-acl-adv-3002] quit

# 创建名为test的策略，定义5号节点，使源地址为192.168.4.0/24的报文被发到下一跳30.30.30.254。

[USG_A] policy-based-route test permit node5

[USG_A-policy-based-route-test-5] if-matchacl 3001

[USG_A-policy-based-route-test-5] applyip-address next-hop 30.30.30.254

[USG_A-policy-based-route-test-5] quit

# 定义10号节点，使源地址为192.168.2.0/24和192.168.3.0/24的报文被发到下一跳40.40.40.254。

[USG_A] policy-based-route test permit node10

[USG_A-policy-based-route-test-10] if-matchacl 3002

[USG_A-policy-based-route-test-10] applyip-address next-hop 40.40.40.254

[USG_A-policy-based-route-test-10] quit

# 在接口GigabitEthernet0/0/3上应用定义的策略test，处理此接口接收的报文。

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] ippolicy-based-route test

[USG_A-GigabitEthernet0/0/3] quit

配置USG_A的NAT。

# 配置Trust和Untrust域间的NAT功能。

[USG_A] nat-policy interzone trust untrustoutbound

[USG_A-nat-policy-interzone-trust-untrust-outbound]policy 1

[USG_A-nat-policy-interzone-trust-untrust-outbound-1]policysource 192.168.4.0 0.0.0.255

[USG_A-nat-policy-interzone-trust-untrust-outbound-1]policydestination 172.16.10.0 0.0.0.255（目的地为172网段的走***，所以不需要nat）

[USG_A-nat-policy-interzone-trust-untrust-outbound-1]action no-nat

[USG_A-nat-policy-interzone-trust-untrust-outbound-1]quit

[USG_A-nat-policy-interzone-trust-untrust-outbound]policy 2

[USG_A-nat-policy-interzone-trust-untrust-outbound-2]policy source 192.168.4.0 0.0.0.255

[USG_A-nat-policy-interzone-trust-untrust-outbound-2]action source-nat

[USG_A-nat-policy-interzone-trust-untrust-outbound-2]easy-ip GigabitEthernet0/0/0（这里可以写外网ip或者地址池或者外网端口都可以）

[USG_A-nat-policy-interzone-trust-untrust-outbound-2]quit

[USG_A-nat-policy-interzone-trust-untrust-outbound]quit

# 配置Trust和Untrust1域间的NAT功能。

[USG_A] nat-policy interzone trust untrust2outbound

[USG_A-nat-policy-interzone-trust-untrust2-outbound]policy 1

[USG_A-nat-policy-interzone-trust-untrust2-outbound-2]policy source 192.168.2.0 0.0.0.255

[USG_A-nat-policy-interzone-trust-untrust2-outbound-2]policy source 192.168.3.0 0.0.0.255

[USG_A-nat-policy-interzone-trust-untrust2-outbound-2]action source-nat

[USG_A-nat-policy-interzone-trust-untrust2-outbound-2]easy-ip GigabitEthernet0/0/1

[USG_A-nat-policy-interzone-trust-untrust2-outbound-2]quit

[USG_A-nat-policy-interzone-trust-untrust2-outbound]quit

配置USG_A的DNS。

# 开启域名解析功能，并配置DNS服务器。

[USG_A] dns resolve

[USG_A] dns server 8.8.8.8

注：在核心交换机上面添加一条默认路由，下一跳指向防火墙的G0/0/3口后，整个网络应该可以访问外网了，这时vlan4的服务器在百度输入ip这两个字母后百度一下应该显示的是40.40.40.1这个ip，而vlan2和vlan3的pc显示的是30.30.30.1。

接着配置USG_B的基本数据。

# 配置GigabitEthernet0/0/0的IP地址。

<USG_B> system-view

[USG_B] interface GigabitEthernet 0/0/0

[USG_B-GigabitEthernet0/0/1] ip address 20.20.20.124

[USG_B-GigabitEthernet0/0/1] quit

[USG_B] interface GigabitEthernet 0/0/3

[USG_B-GigabitEthernet0/0/1] ip address 172.16.10.124

[USG_B-GigabitEthernet0/0/1] quit

# 将GigabitEthernet0/0/3加入Trust区域。

[USG_B] firewall zone trust

[USG_B-zone-trust] add interfaceGigabitEthernet 0/0/3

[USG_B-zone-trust] quit

[USG_B] firewall zone untrust

[USG_B-zone-untrust] add interfaceGigabitEthernet 0/0/0

[USG_B-zone-untrust] quit

# 配置Trust和Untrust域间以及Untrust和Local域间的缺省包过滤。

# 配置Trust与Untrust域间防火墙策略。

[USG_B] policy interzone trust untrustinbound

[USG_B-policy-interzone-trust-untrust-inbound]policy 1

[USG_B-policy-interzone-trust-untrust-inbound-1]policy source 192.168.0.0 0.0.255.255（允许总部的pc走***从untrust进入trust区域）

[USG_B-policy-interzone-trust-untrust-inbound-1]action permit

[USG_B-policy-interzone-trust-untrust-inbound-1]quit

[USG_B-policy-interzone-trust-untrust-inbound]quit

[USG_B] policy interzone trust untrustoutbound

[USG_B-policy-interzone-trust-untrust-outbound]policy 1

[USG_B-policy-interzone-trust-untrust-outbound-1]policy source 172.16.10.0 0.0.0.255（允许内网的ip访问untrust区域）

[USG_B-policy-interzone-trust-untrust-outbound-1]action permit

[USG_B-policy-interzone-trust-untrust-outbound-1]quit

[USG_B-policy-interzone-trust-untrust-outbound]quit

# 配置Untrust与Local域间防火墙策略。

[USG_B] policy interzone local untrustinbound

[USG_B-policy-interzone-local-untrust-inbound]policy 1

[USG_B-policy-interzone-local-untrust-inbound-1]policy source 30.30.30.1 0

[USG_B-policy-interzone-local-untrust-inbound-1]policy destination 20.20.20.1 0

[USG_B-policy-interzone-local-untrust-inbound-1]action permit

[USG_B-policy-interzone-local-untrust-inbound-1]quit

[USG_B-policy-interzone-local-untrust-inbound]quit

[USG_B] policy interzone local untrustoutbound

[USG_B-policy-interzone-local-untrust-outbound]policy 1

[USG_B-policy-interzone-local-untrust-outbound-1]policy source 20.20.20.1 0

[USG_B-policy-interzone-local-untrust-outbound-1]policy destination 30.30.30.1 0

[USG_B-policy-interzone-local-untrust-outbound-1]action permit

[USG_B-policy-interzone-local-untrust-outbound-1]quit

[USG_B-policy-interzone-local-untrust-outbound]quit

说明：配置Local域和Untrust域的域间包过滤规则的目的为允许IPSec隧道两端设备通信，使其能够进行隧道协商。

# 配置缺省路由。

[USG_B] ip route-static 0.0.0.0 0 20.20.20.254

配置USG_B的NAT。

# 配置Trust和Untrust域间的NAT功能。

[USG_B] nat-policy interzone trust untrustoutbound

[USG_B-nat-policy-interzone-trust-untrust-outbound]policy 1

[USG_B-nat-policy-interzone-trust-untrust-outbound-1]policy source 172.16.10.0 0.0.0.255

[USG_B-nat-policy-interzone-trust-untrust-outbound-1]policy destination 192.168.0.0 0.0.255.255（走***的不需要nat）

[USG_B-nat-policy-interzone-trust-untrust-outbound-1]action no-nat

[USG_B-nat-policy-interzone-trust-untrust-outbound-1]quit

[USG_B-nat-policy-interzone-trust-untrust-outbound]policy 2

[USG_B-nat-policy-interzone-trust-untrust-outbound-2]action source-nat

[USG_B-nat-policy-interzone-trust-untrust-outbound-2]easy-ip GigabitEthernet 0/0/0

[USG_B-nat-policy-interzone-trust-untrust-outbound-2]quit

[USG_B-nat-policy-interzone-trust-untrust-outbound]quit

注：做完这部后IDC机房这边也可以上外网了。并且和总部的USG外网口都能相互ping通。

接下来可以配置***了！

配置USG_A的IPSec：

定义被保护的数据流。

[USG_A] acl 3000

[USG_A-acl-adv-3000] rule permit ip source192.168.0.0 0.0.255.255 destination 172.16.10.0 0.0.0.255

[USG_A-acl-adv-3000] quit

# 定义IPSec安全提议，参数都使用缺省值。

[USG_A] ipsec proposal pro1

[USG_A-ipsec-proposal-pro1] quit

# 定义IKE安全提议，参数都使用缺省值。

[USG_A] ike proposal 1

[USG_A-ike-proposal-1] quit

#配置IKE Peer。

[USG_A] ike peer c

[USG_A-ike-peer-c] ike-proposal 1

[USG_A-ike-peer-c] remote-address 20.20.20.1

[USG_A-ike-peer-c] pre-shared-key abcde

[USG_A-ike-peer-c] quit

配置IPSec安全策略。

[USG_A] ipsec policy map1 10 isakmp

[USG_A-ipsec-policy-template-temp-1]security acl 3000

[USG_A-ipsec-policy-template-temp-1]proposal tran1

[USG_A-ipsec-policy-template-temp-1]ike-peer c

[USG_A-ipsec-policy-template-temp-1]local-address 30.30.30.1 （这个本地的ip的这一步可以不写，但是就无法ping通对端的G0/0/3口，意思就是***不包括防火墙本身的内网口，其它内网的机器则能正常通信）

[USG_A-ipsec-policy-template-temp-1] quit

在接口GigabitEthernet 0/0/0上应用IPSec策略map1。

[USG_A] interface GigabitEthernet 0/0/0

[USG_A-GigabitEthernet 0/0/0] ipsec policymap1

[USG_A-GigabitEthernet 0/0/0] quit

配置USG_B的IPSec：

定义被保护的数据流。

[USG_B] acl 3000

[USG_B-acl-adv-3000] rule permit ip source 172.16.10.00.0.0.255 destination 192.168.0.0 0.0.255.255

[USG_B-acl-adv-3000] quit

# 定义IPSec安全提议，参数都使用缺省值。

[USG_B] ipsec proposal pro1

[USG_B-ipsec-proposal-pro1] quit

# 定义IKE安全提议，参数都使用缺省值。

[USG_B] ike proposal 1

[USG_B-ike-proposal-1] quit

#配置IKE Peer。

[USG_B] ike peer c

[USG_B-ike-peer-c] ike-proposal 1

[USG_B-ike-peer-c] remote-address 30.30.30.1

[USG_B-ike-peer-c] pre-shared-key abcde

USG_B-ike-peer-c] quit

配置IPSec安全策略。

[USG_B] ipsec policy map1 10 isakmp

[USG_B-ipsec-policy-template-temp-1]security acl 3000

[USG_B-ipsec-policy-template-temp-1]proposal tran1

[USG_B-ipsec-policy-template-temp-1]ike-peer c

[USG_B-ipsec-policy-template-temp-1]local-address 20.20.20.1

[USG_B-ipsec-policy-template-temp-1] quit

在接口GigabitEthernet 0/0/0上应用IPSec策略map1。

[USG_B] interface GigabitEthernet 0/0/0

[USG_B-GigabitEthernet 0/0/0] ipsec policymap1

[USG_B-GigabitEthernet 0/0/0] quit

双方配置完以上步骤之后测试，发现无法建立ipsec，此原因是因为总部是双出口的，默认路由没有起作用，所以我们必须添加一条到达172.16.10.0/24网段的路由才行。

[USG_A] ip route-static 172.16.10.00.0.0.255 30.30.30.254

添加之后测试发现***可以建立起来了，但是只有vlan4能和对端通信，这是为什么呢？这是因为虽然有了路由了，但是静态路由的优先级是低于策略路由的，所以vlan2和vlan3还是匹配了策略路由test之后直接从G0/0/1出去了，而没有匹配到上面新加的路由，那怎么办呢？很简单，只要把目的地是172.16.10.0/24网段的数据包在匹配test策略路由之前deny掉就行了。具体的做发就是在acl 3002的rule 5之前添加就行了。另外一个办法就是不用加上面的静态路由，而直接在策略路由test的acl 3001里面添加一条rule permit ip destination 172.16.10.0 0.0.0.255 就可以了。方法多种，自己选吧！这里是第一种。（rule后面的数字从0开始，数值越大优先级越低，rule后面不指定数值则默认遵循录入的先后顺序，先录入的优先级高，规则之间的默认优先级数值间隔是5，比如你不指定rule后面的数值，输入了3条规则，那他们的优先级就是5、10、15，建议大家无论如何不要写0，为什么？自己仔细想一下就明白了。）

[USG_A] acl 3002

[USG_A-acl-adv-3002] rule 3 deny ipdestination 172.16.10.0 0.0.0.255

[USG_A-acl-adv-3002]quit

到目前为止应该能实现以下几点了：1.总部和IDC机房内网通过***能互通。2.都能正常上Internet。

接下来就是最重要的发布服务、映射端口了：

这里就举一两个例子吧：

1.vlan4中的192.168.4.10要对外发布www服务

2.192.168.4.20的tcp 9010端口要一对一映射出去。

3.192.168.4.30的udp 9330 端口要映射到外网口的9660端口。

配置：

<USG_A> system-view

[USG_A]nat server 0 protocol tcp global 30.30.30.1www inside 192.168.4.10 www no-reverse

[USG_A]nat server 1 protocol tcp global 30.30.30.19010 inside 192.168.4.20 9010 no-reverse

[USG_A]nat server 2 protocol udp global 30.30.30.19330 inside 192.168.4.30 9660 no-reverse

注：这时telnet响应的端口就可以成功了，从外网测试也能访问192.168.4.10的www服务了。但是有个问题，就是vlan2和vlan3的pc想通过局域网访问（在浏览器地址栏输入192.168.4.10：80）vlan4的192.168.4.10的www服务却不通了。并且访问内部办公平台或者OA系统也都不通。这是为什么呢？这是因为服务已经映射到30.30.30.1上面了，所有涉及到这些已经发布的服务的数据流都必须经过防火墙，这个时候核心交换机其实只有默认路由起作用了，它把所有的涉及到已经发布的服务的数据流都发给了防火墙，而不是直接转发给vlan4，这是怎么实现的？这个就应该问华为了，我无法回答这个问题，因为我也不懂，也不需要到，我们只要知道数据是这么走的就行了。接下来的问题是：防火墙的G0/0/3口接到了目的地为192.168.4.10的数据包，而去往目的地的接口居然就是接收到数据包的接口，这就和最基本的包转发规则“接收到的数据包不会从源端口再发送回去”相冲突了，所以数据包就会被丢弃掉。

找到了原因，那就有解决办法了：既然“接收到的数据包不会从源端口再发送回去”，那我就把接收到的包换个马甲，让防火墙认为是从另外的的口进来的不就行了？那怎么实现呢？很简单，华为有个机制叫域内nat，建一个虚拟的地址池（和思科的lookback口想死）（地址必须不能和任何已存在的端口ip网段冲突），把符合上面所说的数据包做一下转换，再反回去就行了。

配置：先建立地址池，然后做trust到trust的域内nat

<USG_A> system-view

[USG_A]nat address-group 0 1.1.1.1 1.1.1.1

[USG_A] nat-policy zone trust

[USG_A-nat-policy-zone-trust] policy 1

[USG_A-nat-policy-zone-trust-1]policysource 192.168.0.0 mask 16

[USG_A-nat-policy-zone-trust-1]policydestination 192.168.0.0 mask 16

[USG_A-nat-policy-zone-trust-1] actionsource-nat

[USG_A-nat-policy-zone-trust-1] easy-ip address-group0

[USG_A-nat-policy-zone-trust-1]quit

[USG_A-nat-policy-zone-trust]quit

做完这一步后测试，发现还是没有通，这又是为什么呢？原因就是：策略路由出的问题，虽然我们有了ip route-static 192.168.0.0 0.0.255.255 192.168.5.254这条静态路由，但是别忘了我们的策略路由优先级比静态路由高，而策略路由是应用到G0/0/3这个口来处理接收到的包的，所以当它接收到vlan2和vlan3发来的，目的地是vlan4的包的时候它还是按照匹配acl 3002的数据流发往下一跳30.30.30.254了，而防火墙认为这不合理，所以丢弃了，因此还必须在acl 3002里面加一条rule拒绝目的地为192.168.0.0/16的包，也就是不处理这类包，而交给优先级低得静态路由来处理了。

具体配置如下：首先取消test策略的应用，不然无法修改策略所调用的acl.

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] undo ippolicy-based-route test

[USG_A-GigabitEthernet0/0/3] quit

在acl 3001和3002都添加rule，拒绝（不处理）目的地为内网的数据包。也许会有人问：为什么3001也要加呢？我会说：难道你vlan4自己就不访问自己的vlan4的应用吗？所以加上吧。需要注意的是：必须要加在rule 5的前面才行，为什么？自己想吧。

[USG_A] acl 3001

[USG_A-acl-adv-3001] rule 3 deny ip destination192.168.0.0 0.0.255.255

[USG_A-acl-adv-3001] quit

[USG_A] acl 3002

[USG_A-acl-adv-3002] rule 4 deny ip destination192.168.0.0 0.0.255.255

[USG_A-acl-adv-3002] quit

重新应用test策略在内网口

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] ippolicy-based-route test

[USG_A-GigabitEthernet0/0/3] quit

到了这一步能通了吗？必须的啊！这么辛苦了，这次真的通畅了！USG_B那边也是同样的配置，而且比USG_A要简单多了，这里就不写配置了，如果我写这么详细了你还是说不懂，那我也没办法了！

这就完了吗？当然没有啦！还有L2TP没有配置呢！其实配置很简单，先晒出来吧。

l2tp enable

interface Virtual-Template1

ppp authentication-mode chap

ip address 10.10.10.1 255.255.255.0

remote address pool 1

l2tp-group 1

allow l2tp virtual-template 1

undo tunnel authentication

tunnel name LNS

firewall zone trust

add interface  Virtual-Template1

aaa

local-user vpdnuser password simple***123456

local-user vpdnuser service-typeppp

ip pool 1 10.10.10.2 10.10.10.15

配置网上或者手册都有，但是录入进去后就是不通，当然不通啦！要是这么简单谁都能搞了，还要网络攻城狮干什么？

好了，废话不多说了，安装上面的配置后***其实是起来了，而且在家里测试的确能连上***，验证成功，但是只能ping通防火墙本身，vlan2和3和4都无法访问，这很明显又是策略的问题了。在这又不得不花点时间解释一下L2TP的其中一点了：interface Virtual-Template1当创建虚拟模板之后需要把它加进已有的区域或者新建一个区域，也就是说它可以加进trust、untrust、untrust1、dmz这几个区域或者自己新建一个，而不管你加入哪个区域都必须做相应地策略才能通过。dmz我们这里没有划分，而untrust有两个，而且还需要调整trust到untrust之间的nat，让走***的数据流不要做nat转换。所以我们选择比较简单的trust，这样L2TP-***和内网通信其实就是trust到trust之间通信了，这就和前面说到的vlan2和vlan3访问vlan4的应用是一个道理了。而我们只需要象之前做过的那样在test所调用的acl 3001 和 3002中分别添加deny ip destination 10.10.10.0 0.0.0.255的rule就行了，到10.10.10.1/24的路由防火墙会自动生成直连路由的。

具体配置如下：首先取消test策略的应用，不然无法修改策略所调用的acl。

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] undo ippolicy-based-route test

[USG_A-GigabitEthernet0/0/3] quit

[USG_A] acl 3001

[USG_A-acl-adv-3001] rule 1 deny ip destination10.10.10.0 0.0.0.255

[USG_A-acl-adv-3001] quit

[USG_A] acl 3002

[USG_A-acl-adv-3002] rule 1 deny ip destination10.10.10.0 0.0.0.255

[USG_A-acl-adv-3002] quit

重新应用test策略在内网口

[USG_A] interface GigabitEthernet 0/0/3

[USG_A-GigabitEthernet0/0/3] ippolicy-based-route test

[USG_A-GigabitEthernet0/0/3] quit

这样就ok了，上面其实难点就在策略上面，修改了好几次了，下面列出修改过后的acl

acl number 3001

rule 1 deny ip destination 10.10.10.0 0.0.0.255

rule 3 deny ip destination 192.168.0.0 0.0.255.255

rule 5 permit ip source 192.168.4.00.0.0.255

acl number 3002

rule 1 deny ip destination 10.10.10.0 0.0.0.255

rule 3 deny ip destination 172.16.10.00.0.0.255

rule 4 deny ip destination 192.168.0.0 0.0.255.255

rule 5 permit ip source 192.168.2.00.0.0.255

rule 10 permit ip source 192.168.3.00.0.0.255

所有配置结束，希望能对各位有所帮助！

                      By-------------痞子先生

转载于:https://blog.51cto.com/sliang2012/1292889