ACL的配置

标准ACL配置

一、标准ACL的配置

搭建拓扑图

路由器的地址配完后，你还要为这两台路由器配置静态路由，使路由器的环回口可以互相访问。

二、实验步骤

步骤1：
在路由器R1和R2上配置IP地址和静态路由.
(1)R1

[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[R1]int loopback0
[R1-LoopBack0]ip add 192.168.10.1 24
[R1-LoopBack0]q
[R1]int loopback 1
[R1-LoopBack1]ip add 192.168.20.1 24
[R1-LoopBack1]q
[R1]int loopback 2
[R1-LoopBack2]ip add 192.168.30.1 24
[R1]ip route-static 20.20.20.0 24 g0/0/0 12.1.1.2
[R1]ping -a 192.168.10.1 20.20.20.20

*****ip route-static 20.20.20.0 24 g0/0/0 12.1.1.2 表示配置R1的静态路由；ping -a 源ip 目的ip 表示检测网络连通性。
(2)R2

[Huawei]sys R2
[R2]int g0/0/0 
[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[R2-GigabitEthernet0/0/0]q
[R2]int l0
[R2-LoopBack0]ip add 20.20.20.20 24
[R2]ip route-static 192.168.10.0 24 g0/0/0 12.1.1.1
[R2]ip route-static 192.168.20.0 24 g0/0/0 12.1.1.1
[R2]ip route-static 192.168.30.0 24 g0/0/0 12.1.1.1
[R2]ping -a 20.20.20.20 192.168.20.1
[R2]ping -a 20.20.20.20 192.168.10.1
[R2]ping -a 20.20.20.20 192.168.30.1

结果：均可互相ping通

步骤2：
在R2上配置ACL，并在R2的G0/0/0接口in方向应用：

[R2]acl 2000
[R2-acl-basic-2000]rule 5 deny source 192.168.10.0 0.0.0.255
[R2-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[R2-acl-basic-2000]rule 15 permit 
[R2-acl-basic-2000]rule 20 deny source 192.168.20.0 0.0.0.255
[R2]int g0/0/0 
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

***rule 15 permit 等价于 rule 15 permit source any
（这个规则表示任何ip都可通过）
***traffic-filter inbound acl 2000 （表示在g0/0/0 接口的in方向上应用acl 2000这个规则）

步骤3：
以192.168.10.1为源pingR2环回口,能否ping通？
以192.168.20.1为源pingR2环回口,能否ping通？

[R1]ping -a 192.168.10.1 20.20.20.20
[R1]ping -a 192.168.20.1 20.20.20.20

结果：10.1不能ping通；20.1能ping通。
由于acl 2000规则的rule 5，使得g0/0/0 接口拒绝192.168.10.1访问，使得rule 10 不起作用（因为能匹配rule 5后 就不会再匹配rule 10）。由于rule 15 使得ip均可访问（ 不会再去匹配rule 20）

步骤4：删除多余的条码信息rule 10，并查看R2的acl是否删除掉rule 10

[R2]acl 2000
[R2-acl-basic-2000]undo rule 10
[R2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  
 rule 5 deny source 192.168.10.0 0.0.0.255 
 rule 15 permit 
 rule 20 deny source 192.168.20.0 0.0.0.255 
#
return

结果：rule 10 条目被删除了。

步骤5：
要想实现192.168.20.1无法访问R2的效果，将拒绝访问的条目插入在”permit any“之前即可，也就是说拒绝访问的ACL条目的编号要比15小。在插入条目之前，要先将原先的条目删除，ACL不允许插入与现有条目完全相同的条目。

[R2-acl-basic-2000]undo rule 20
[R2-acl-basic-2000]rule 14 deny source 192.168.20.0 0.0.0.255
[R2-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000  
 rule 5 deny source 192.168.10.0 0.0.0.255 
 rule 14 deny source 192.168.20.0 0.0.0.255 
 rule 15 permit 
#
return

结果：192.168.20.1无法ping通20.20.20.20

三、总结:

从上面两个测试，你可以知道：
1.路由器在执行ACL时，会按照条目编号大小的顺序从小到大依次进行匹配；
2.路由器找到与数据包匹配的ACL条目后，直接进行deny或permit操作，不会再去匹配后面的条目。