华为ENSP中基本Acl(访问控制列表)原理和配置命令

基本ACL的简介

华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤，配置简单，但功能有限。

ACL的匹配规则

步骤：

检查是否存在ACL

如果不存在，则匹配结果为“不匹配”。

如果存在，则继续下一步。

检查是否存在规则

如果不存在，则匹配结果为“不匹配”。

如果存在，则继续下一步。

分析第一条规则

判断报文是否命中该规则。

如果命中：

判断规则动作是“允许”还是“拒绝”。

如果是“允许”，则匹配结果为“允许”。

如果是“拒绝”，则匹配结果为“拒绝”。

如果未命中：

判断是否存在其他规则。

如果存在，则继续分析下一条规则。

如果不存在，则匹配结果为“不匹配”。

重复步骤3，直到分析完所有规则

根据分析结果，确定最终匹配结果

规则匹配顺序：

配置顺序：按照规则编号从小到大的顺序进行匹配。

优先级顺序：按照规则优先级从高到低的顺序进行匹配。

默认情况下，ACL使用配置顺序进行匹配。

注意事项：

ACL匹配遵循“一旦命中即停止匹配”的原则。

如果报文未命中任何规则，则最终匹配结果为“不匹配”。

基本acl的配置步骤

创建acl

acl number

其中，number为acl的编号，范围为2000～2999。

进入acl视图

acl number

配置acl规则

rule rule-number [permit | deny] source source-address [mask mask-addre

其中：

rule-number为规则的编号。

permit表示允许数据包通过。

deny表示拒绝数据包通过。

source-address为源IP地址。

mask为源IP地址掩码。

mask-address为反掩码，用于精确匹配。

基本acl的应用示例:

AR1的基本配置

基本的IP配置还有默认路由 先实现全网互通

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/2]
int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 6.6.6.6 255.255.255.0
 
 
[Huawei]ip route-static 0.0.0.0 0 6.6.6.7

AR2的基本配置

基本的配置实现全网互通

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 6.6.6.7 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.4.1 255.255.255.0
 
[Huawei]ip route-static 0.0.0.0 0 6.6.6.6
[Huawei]

实验前测试

PC4来访问PC3

PC4来访问PC6

实验要求

接下来我们在AR1上做acl策略来限制流量

拒绝192.158.1.2 来访问 192.168.3.2

但是可以访问同一网段的 192.168.3.3

AR1的acl策略

[Huawei]acl 2000
[Huawei-acl-basic-2000]dis this
	
//拒绝来自源 IP 地址为 192.168.3.2 的所有数据包。
[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0
 
 
//允许来自源 IP 地址为 192.168.4.0/24 的所有数据包通过。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255
 
 
 
rule 10：这表示你正在配置 ACL 2000 中的第十条规则。
permit：这表示你将允许符合这条规则条件的数据包通过。
source 192.168.4.0 0.0.0.255：这指定了匹配此规则的数据包的源 IP 地址。在这种情况下，源 IP 地址范围是 192.168.4.0/24，后面的 0.0.0.255 是通配符，表示允许该网段下的所有 IP 地址。

拒绝访问详解

[Huawei-acl-basic-2000]rule 5 deny source 192.168.3.2 0

rule 5：这表示你正在配置 ACL 2000 中的第五条规则。

deny：这表示你将拒绝符合这条规则条件的数据包通过。

source 192.168.3.2 0：这指定了匹配此规则的数据包的源 IP 地址。在这种情况下，源 IP 地址是 192.168.3.2，后面的 0 是通配符，表示仅匹配该具体 IP 地址。

允许访问详解

[Huawei-acl-basic-2000]rule 10 permit source 192.168.4.0 0.0.0.255

rule 10：这表示你正在配置 ACL 2000 中的第十条规则。

permit：这表示你将允许符合这条规则条件的数据包通过。

source 192.168.4.0 0.0.0.255：这指定了匹配此规则的数据包的源 IP 地址。在这种情况下，源 IP 地址范围是 192.168.4.0/24，后面的 0.0.0.255 是通配符，表示允许该网段下的所有 IP 地址。

应用acl策略

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
[Huawei-GigabitEthernet0/0/1]

这个命令的含义是：将 ACL 2000 应用到 GigabitEthernet0/0/1 接口的入方向，这意味着 ACL 2000 中的规则将用于过滤进入该接口的数据包，根据 ACL 规则的匹配情况来决定是否允许或拒绝这些数据包通过接口。

实验后测试

PC4（192.168.1.2） 访问 PC3（192.168.3.2）

经过测试发现无法访问（符合实验要求）

PC4（192.168.1.2） 访问 PC6（192.168.3.3）

经过测试发现可以访问（符合实验要求）