华为基本acl配置实例

访问控制列表 acl 是一种基于包过滤的访问控制技术，他可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛的应用于 路由器和三层交换技术。借助于访问控制列表，可以有效的控制用户对网络的访问，从而最大程度的保障网络安全。进入系统，试图关闭提示信息， 创建恶联十二时三式命名交换机 s w 二、进入接口一零零一、 接口类型为 track， 允许左右弯通过进入接口一零零二、接口类型为 access， 允许关钥匙通过进入接口 一零零三，接口类型为 xs， 允许拨按二式通过进入接口一零零四、接口类型为 xs， 允许拨按三式通过 进入系统视图命名 swe。 关闭提示信息，创建 win。 十二是三十进入 vans， 配置 ip 地址，进入 van 二十配置 ip 地址 进入分三十配置 ip 地址 进入接口 j 零零一，接口类型为 trunk， 放通所有 wine。 p c 一，平通网关。 p c 一，平通 p c 二和 p c 三、 配置 a c l。 进入高级 s l， 配置编号为三百 deny 是不允许通过的意思。 p c 三，不允许访问 p c e。 网络。 permit 是允许通过的意思，允许访问其他网络 进入接口 g 零零一，意思是把 a c l 三千的配置这条规则放在 g 零零幺这个端口 之下，并在接口上配置。基于 a c l 对豹纹进行过滤。 p c 一，拼通。 p c 二， p c 一拼不通。 p c 三，整理配置。

哈喽，大家好，我是神马课堂的乔老师。好，今天我们来看一个基本 sl 的一个案例配置。 前面一讲我们已经讲过一个 a 四 l 如何来定义以及如何来应用，就是我们定义完 a 四 l 未来之后，我们需要在一个接口下啊，对他做一下引用，这样就可以了。那么在这个实验当中，我们看一下他的要求啊，他的要求是 下面这位上我们写了一个项目部 pc， 这个地方写了个网管 pc 啊，现在我们要求是允许网管这个 pc 来推销奈特远程登录到 a 二一上这个录像来对这个路由器进行管理，而不允许项目 pc 来远程登录 a 二一啊这样的，因为推销奈特，只要是你这个路由器上起推销奈特，只要这 这个啊 pc 啊或者路由器也好，他只要是能和他通信，其实他就可以团来的。待会我们这个地方需要要求大家什么呢？就是配置一个基本 acr 啊，让他允许他远程登录，而不允许他远程登录 啊这样。但是这时候大家可能会发现啊，我们这个拓普图当中这两个也是用的路由器啊，没有用 pc， 因为正常我们 pc 是这个这个东西，是吧？啊，这是因为什么？在华为模拟器里面啊，这个 pc 机它没有太阳台的命令， 所以话涉及到太阳奈特这个实验当中，我们基本上是用这个路由器来模拟 pc， 那么我们在这个实验当中用的是两个如特啊来模拟这个 pc 机啊，但是这个中间这个设备啊，中间这个路由器由于我们需要定义 ac2 啊， 所以话这个路由器一定要用 a r 路由器，这个路由器的话你可以用 a 二二零，也可以用二二零啊，不要用这个啊，这个应该也不支持啊，这话我们要注意一下这个 top 的搭建，另外的话 top 的时间的前提就是 pc 机 和这个路由器能够通信，有的话如果说我们这俩他应该能通信，这俩应该能通信啊，这样的话才能具备太阳奈特远程登录了这样一个前期 啊，那么这个我们会发现这个直接用的是一点零的网络啊，这个用的是四点零的网络啊，那么我们看一下这个配置啊，这个配置应该是可以这个第四配 ip 樱桃 face 啊，这里面有一个一点一的地址啊，一点一的地址，我们来看一下他的一个地址， 第一次拍拍皮， 这里面有个一点二五四啊，一点二五四，然后有个四点二五四，现在画的是二口一二口啊，这边都有地址，然后这个，哦，这个我发现啊，这个地址啊，应该是丢了，丢了，这样的话我们给他，嗯，这个 配置一下啊，网管 pc， 我们建议这个他应该是用了一号口，是吧？配一个幺九二点幺六八点一，好，四点一二十四， 这样的话我们退去，退去拼一下就可以啊，幺九二点幺六八点四点二五四， 这样就能通了啊，通了，这是一个我们做太阳奈特一个基本的一个条件哈，他必须能通啊，通了之后，这样的话，我们在 a r 上我们来启用这个，呃，太阳奈的功能就可以，当我们在这个里面我们可以写一个太阳奈 sover 内报啊，但是这时候啊，他会提示我，然后说这个台下带的 sover 已经啊，已经以内报了，有话默认他这个服务已经开启了啊，这个你可以输一下，看一下啊，如果没有的话，你把它开一下，因为如果说他不出这个错误提示，就说明他是关的 啊，这样的话你把它启用一下，如果说他出错误提示，告诉你已经啊，已经有了，已经有了，但无所谓啊，这样的话，在这个 vty 啊 vty 下面带这个虚拟啊终端的这样一个 试图模式下，我们去设计一个啊，认证模式为 party 啊， party， 然后话他让我咱输一个密码，是吧？输一个华为， 然后我们再是可以设置一个什么这个 uzar previews level 啊， level 后面的话，你可以发现他可以写零到十五 啊，这个地方他是一个三啊，是一个三这个用户级别啊，用户级别在下面待在这个地方给大家写了一个文档啊，写了一点这个知识，这个后续大家看一眼就可以在这上面不给大家细讲啊。默认情况下他的秘密级别就有零到三 啊，就是零是参观级别，一是监控级别，二是配置级别，那么三是是一个这个管理级别啊，管理级别啊，大家话你们说老师还有十五嘞，这是因为什么？这个默认情况下就是零到三这样几个级别，然后如果说你可以通过 啊这个命令啊，把这个命令级别扩展到零到十五啊，扩展到零到十五啊，这个东西大家可以根据情况啊，你们自己再去扩展啊，再去扩展这个默认情况下，咱就按照他和他默认这个级别就可以啊，就是零到三的级别，大家给他配一个最高级别就是三 单，这样的话他的级别最高啊，就是他进去之后可以做任何操作。这是一个关于他的用户级别的问题，大家设计一下这个级别为三啊，这样的话其实就设置完了啊，这是两条命令啊，这是两条命令， 一个就是我们在这设置一下这个认证模式，为 part 网的带话设置的用户级别，当我们在 a r 录取上我们写了这条命令之后，接着他会提示让我们设置密码，但是如果你在 rute 上，你说完这个命令之后，他是没有提示的，你需要专门用一个赛特命令再设置密码 话，我们在两个 pc 上测试一下，看看能不能推销奈特手啊。这个推销奈特在测试的时候，我们需要在哪？需要在用户试图下啊，在这个监控号，这个试图下我们做推销奈特。推销奈特什么呢？那个 a r 路由器上那个地址，这个是一点 点二五四是吧？是不是让他输密码，输一个华为啊？这个华为你在输的时候啊，屏幕上不会有任何提示，你输完就可以交回车，这样是不是能登录上，然后 svs 你会发现他也可以进系统师图 啊，我们可以什么？我们可以给他改一下名字，比如说我们改成 a r e 是不可以啊？那可以，然后我从这个地方去爱回车，你就会发现，哎，他的名字已经改了，已经改了啊，这样的，那么这样的话他就可以了，我们后续把它退出来 啊，再退回到这个啊，项目 pc 这样提示服下就退出来，那么网管 pc 这边能不能去太阳奈特呢？看一下，我们先退回到用户实图下，也是太阳奈特幺九二点幺六八点四点二五四， 也是会出现一个输密码的一个这样一个界面，我们输一下华为是不是也能登录进来啊？登录这个 svs， 然后我们进到这个系统试图下，然后我们给他改一下名，改回到二一， 再回到这个地方，看一下是不是变成阿姨了，就看这就可以是吧，原来是阿姨，然后 通过相容 pc 给他改成 a 二一，然后再通过网管 pc 再给他改回来啊，说明这个也没有问题，就相当于你启用了太阳奈奈之后，那么这个网络设备可以跟他连接，能够通信，那么这样的话他就可以太阳奈德上啊，退出， 这样前半部你做完了就 a r 上起啊， tony 啊，并且的话我们现在两台 pc 都可以去远程登录啊，那么下面我们说设置一个 acl 来什么 去做一下控制，就是允许那个网管的 pc 来推销来的，但是不允许项目部 pc 来推销来的。好了，这样的话我们定一个 a c 二是吧，我们用一个基本的 a c 二就可以 a c 二两千，然后我们写一个弱啊， permeat， 幺九二点幺六啊，幺六八点，刚才那个网管 pc 是不是四点一啊，就允许这个啊？来呃， 访问啊，这个地方少少写了个东西啊，少写了个 suvrc soft 啊，允许他来进行访问，那么这样的话就可以了啊，这一条， 然后这个规则已经存在房间是不是这个规则我已经定义了啊，这已经有了，有了，有可能是我上次定义的没有删哈，没有删，这样的话就是这样一条规则，然后我们再定义一个什么若啊地奈啊， 那 sof any 就是不允许原地址为其他的任何啊地址来访问访问他啊，待会我们就定义完，定义完之后我们是不是需要去做一下应用啊？要在应用，那么在哪做应用呢？ 这个因为我们是这个做推销奈特的一个访问控制，所以话我们这个 a c 二，他和别的 a c 二不一样，别的 a c 二是应用到接口下，那么在这个 a c 二当中，我们需要把它应用到这个啊， vt y 这个虚拟终端的这样一个用户石头下，在这里面去做这个 a c 二的一个 啊，这个应用 acl 两千啊，然后做一个音棒的啊，直接写 acl 两千音棒的就可以了啊，我们悄悄回车好了，这样就可以了啊，这样就可以了，好了，我们下面再 再用这个项目 pc 说，我们还可以再尝试一下，尝试一下，然后这时候的话，你会发现他是停这停，这意思是什么？他是不是反应不到了？反应不到在这块停着啊？大家一起试一下网管啊，网管 pc 的话也是在这个时候，和刚才一样， 是吧？仍然可以进来是吧？这样的话他就不给他改了，他就可以试一下，你会发现他很轻松的就可以啊，登录上来，但是这个项目 pc 你会发现他会停在这， 那么现在的意思是什么？就已经登录不进去了，登录不进去了啊，这样的话我们按一个 ctrl 加 k 来把它中指一下，中指完之后的地方就会弹出一个特殊提示，告诉你 ifel 的图 啊，失败啊，来连接到远程主题的时候失败了啊，这样就是我们这个通过一个案例啊， 通过一个案例来这个，嗯，对这个基本的 ac2 来进行来讲解，有的话我们可以通过定义 ac 二来对做一个精确匹配啊，对原地址做一个精确匹配，从而实现一个什么某一个 ip 地址可以实现的功能，那么其他 ip 地址是不能实现啊，这样 好，今天的这个视频就讲到这里啊，欢迎大家点赞、关注、转发。好，谢谢大家。

hello， 各位同学，大家好，今天呢，我们所要讲解的是一个与 a z l 相关的一个小知识点，那我们知道，在实际的功能环境里面，想要控制设备之间的互通时，我们会有一些个性化的需求， 那么这些需求的话呢，通常我们是通过 acl 这个工具来填实现的，在配置 acl 的过程中，我们有的时候经常会将 acl 里面有一个特别关键的一个字段 啊，和我们之前学的幼知识进行一个混淆，那么这个知识，这个知识点叫什么呢？其实呢，是我们通常在书本上所看到的啊，被误解为叫反颜码的啊，这么一个知识点， 其实这个反野马呢，它其实就对于网络野马而言的，而在我们 a z l 里面，其实呢，我们所出现的相应的关键字段并不叫 反应吗？而叫通配符，是的，我们今天所讲的这个知识点呢，就是叫做通配符啊，我们现在来看一下 我们通常情况下再写一个 a c l 的手，举一个很简单的一个例子啊，叫 a c l 两千 rose permit south 幺九二幺六八，一点零零点零点零点二五五，此时大家都会以为觉得后面这个东西呢，这个是一个 表示的是一个反野马，其实并不是的啊，这个地方其实表示是一个通配符，而对于我们刚开始接触 asl 这个相关知识点的啊同学来说的话呢，特别容易啊，将通配符反野码所搞混，那么就来 严格的来区分一下啊，这三个到底是什么样的关系啊，我们就野马而言的话，野马而言，其实就是我们同城所说的这个子网野马啊， 或者叫延吗？所以说叫 mask 啊，这个延晚的作用呢？其实啊，非常的简单，在我们刚开始接触网络的时候呢，我们就学习过这个东西， 我们在刚开始接受过网络的时候，要学习到 ip 地址这个概念，任何一个上网的设备都必须得有 ip 地址的啊，那么 ip 地址呢？ 我们的网络结构， ip 地址的结构啊，是固定的，左边永远是网络位，右边永远是主机位，这两部分加起来一共是三十二个比特啊，那如何区分 ip 地址的网络位和主机位呢？就是通过网络研磨 啊，所以我们网络言文的作用就是用于区分 r、 p、 e、 d 之中的网络位和储气位。那如何来区分呢啊？我们言码当中是这样定义的， 眼码和 ip 地址是三十二个比特一一对应的，在眼码中与 ip 地址的网络位所对应时，我们用一表示，在眼码中我们和 ip 地址的主机位对应时，我们是用零表示，那所以呢，鉴于我们的 ip 地址的这个格式， 从而就导致我们的网络野马他的格式也是有一定特点的。什么特点呢？既然你 ip 地址的结构，网络永远都在左边，主机位永远都在右边，所以我们的网络野马中啊，我们的网络野马中，他的左边永远都是一，右边永远都是零 啊，所以我们可以把这个特点简单的归归纳总结一下啊，这个特点的话，就是网络演码中左边永远是一，右边永 永远是零，这是第一点啊，第二点呢，一和零永远不会交叉出现，永远不会交叉出现啊，我们在看演版的时候，我们更多的关注的是在这个演版中哪些比特是一，那除了网络位的和其他都叫主机位。 那对于反野马而言的话呢，对于反野马而言，哎，他的也是有一定特点的啊，顾名思义，反野马，反野马就是将野马反过来，所以呢啊，他的特点应该是和这个野马类似，比如说 他的右边啊，他的左边也是左边吧，他的左边永远是零，右边永远是一啊，就是将野马中的零和腰电站轻颠倒就可以了，他的零和腰呢，也不会出现交叉现象， 对吧？也不会出现这样的现象啊。那再来说一下，我们这个野马的话，通常在什么地方用呢？场景，对吧？通常在什么地方用？第一，比如说配置接口 ip 地址的时候， 我们就得使用的是野马，还有一个配置路由调目的时候啊，我们在路由比路由器上配置静态路由的时候，哎，后面跟的也是一个野马啊。而对于反野马，我们在什么情况下使用呢？这里确实也存在一个场景啊， 在 o i p f 协议中宣告网络时，哎，我们使用的其实也是一个宣告网段时啊，使用的也是一个反应码。那么通配符呢？通配符的 英文单词啊，其实叫 weird cut base 啊，叫通配符 weird cut base， 我们叫通配符啊。那么这个这个的特点的话呢，就不太一样了啊， 也是由零和一组成，由零和一组成，并且零和一的位置没有任何的 限制，没有任何的规定，没有任何限制零和幺可不可以交叉出现啊？可以，我左边可不可以永远是左边，可不可以是一，右边可不可以是零啊？类似于 ip 地址的眼码行不行？可以，那我能不能左边是零，右边是一，长得像反眼码可不可以？可以， 那我能不能左边最左边啊？是一，最右边是零，中间又有零又有一，既不像爷们，也不像反爷们， 可不可以啊？也可以啊，都是可以的。这个时候啊，我们在通配符里面紧紧关注零啊，紧紧关注零所对应的。喂，那么这个通配符通常和什么结合在一起？通常也是和一个地址和一个网段结合在一起， 也就是说在我们下面这个 a c l 里面啊，我们 a c l 两千有一个条目叫入食，这个条目呢？仅仅允许什么呀？ ip 地址，原 ip 地址，哪些原 ip 地址呢？这个时候我们不要看前面了，我们就直接看后面， 在后面这个通配符里面，我们前面的二十四个比特啊，三个字节，二十四个比特都是零，说明我们用这个 a c l 题目检查我们的数据包的原 ip 地址的时候，仅仅检查数据包原 ip 地址前面三个字节，这三个字节必须是幺九二幺六八一。至于最后一个字节的话呢，我们在通背符里面我都是用一， 用一意味着什么呢？用一就意味着我这个规则压根就不关心你原 ip 地址的最后一个字节，所以说你最后一个字节的话，既然我不关心，我都用零来表示。 所以说我们在看到一个 a c l 的时候，想整明白它的 a c l 的含义，我们首先应该关注的是这个 a c l 调膜的通配肤， 在通病符里面哪个比特是零呢？就说明我们这个 s、 l 条目只检查我们原 ip 地址的哪个比特啊？同样，我们如果把这个数据包写成 rule 二十 permit 叫 sauce， 一百点，一百点一点零点一，后面写零点零点二五五点零，这个是什么意思呢？ 说明我入二十这个条末呢？他在检查数据包的原 ip 地址的时候，他只检查这个原 ip 地址的第一个字节，第二个字节以及第四个字节，第一个字节必须是一百，第二个字节必须是一，第四个字节必须是一。至于中间这个字节， 我们在同门符里面用的是八个一表示什么，这个自己的取值我根本是不关心的。 那么这个题目言外之意就匹配的是原地址是那些幺零、一百点一点、零点一到一百点、一百点一点、零点一、一百点一点一点一、二点一、三点一、四点一，这么二百五十六个公务 ip 地址。好，这就是通配符的含义。

acl 是由若干条 promes 或者迪代的语句构成啊，前面已经说过了啊，每条语句就是该 acl 的一条规则啊，每条语句中的 ac 或者迪代就是与这条规则相对应的处理动作。 acl 的处理动作就两个，要么是 parmes， 要么是迪代，就是允许或者拒绝。 下面给了一个 acl 的案例啊，希望大家一定要看得懂哦啊，首先 acl number 两千啊，这个 number 是可以写，可以不写，你直接写 acl 两千也行，就相当于写一条或者叫创建一条这个编号为两千的 acl 啊，这是编号为两千的 aceo， 里边可能有很多条规则是吧啊，编号为五的规则啊，就若五 parmes 圆，允许圆为这个段的地址通过啊，然后弱时就规则时抵赖啊，拒绝这个段的地址通过， 然后十五又允许这个段子通过，对吧。啊，这用可以用过自己定义的一些规则啊，不一定要写很多，你写个一条写个两条啊，也都可以啊，也都可以啊，这里面啊，最后他说的是在 acl 的末尾有一个隐藏的规则，就是没有被允许的啊，默认他都会被抵赖。 但是在华为的交换机上啊，如果只是进行单纯的流量过滤的话啊，他他应该是最后默认应该是盆密纸啊，盆密纸如果只是单纯的做流量过滤啊啊，最后隐藏的是盆密纸啊，思科的如果是做流量过滤的话，最后默认隐藏的就是抵赖 啊，如果说流量过滤他是他他是盆蜜汁啊，但是如果你去抓入油啊，你前面的，比如说 apolemechapolemecha 多少，然后后面没有没有盆蜜齿，他默认就抵赖了。所以这个要分两种情况啊，他是不是这个默认啊？默认拒绝要分两种情况，第一个是抓 啊，是不是是针对流量啊？流量其实不是抵赖流量，他华为的默认是盆密值的啊。第二个是如果你是抓的陆游这一类的啊，他就是默认抵赖的。 ok， 关注老师不迷路哦。

华为 acl 访问控制策略？大家好，今天我们来学习一条简单的 acl 配置，目的是让 pc 九拒绝 pc 七访问。首先打开路由器，进入配置模式，创建一个 acl 两千，写一条规则 rudinai sauce 幺零点幺点幺点零零点零点零点二五五回车，再进入 g 的零杠零杠二接口 in the g 的零杠零杠二 traffic filter ald bona cl 两千 天。我们来测试一下，打开 p c 七取 pan， p c 九 是不能通信的状态，说明我们配置成功。今天分享的内容就是这些，你都学会了吗？

这个案例来给大家去介绍啊，到如图所示啊，公司为了保证财务数据的安全啊，是财务的服务器是吧？还要禁止研发部访问财务服务器，但总裁办不受影响，然后其他的互联网不能够访问财务服务器，相当于他有三个员，研发部啊，这是一个员，研发部访问不了我的财务服务器，总裁办可以，然后我的 internation 啊，不可以是吧？这个通过 aceo 怎么实现 啊？什么时间？而且也比较简单嘛，就直接写一条 aceoaceo， 里面有三个规则啊，其中才研发允许，他研发拒绝，总裁办允许允许，然后 internet 啊拒绝是吧？我们通过 insp 来给大家去模拟一下啊，模拟一下 具体的一个透读，就如图所示，跟前面的画的这个透读也比较类似啊，这里面标注更详细一点，就是具体的 ip 地址的接口都给你标出来了，而且我们用一台路由器去模拟互联网啊，用一台路由器去模拟互联网，然后他们的这个 ip 地址具体写出来了哈，而且，而且都在都在这个里边把它配出来了，主机 ip 地址我就不一个一个给他去配了，我相信这个东西你应该会配， 是吧，直接在上面手中去写就行了啊，福气也是一样的啊，福气。他的地址是三点一百，然后网关地址是三点二五四啊，三点二五四，然后网关都是指向这台路由器的啊，网关都是指向路由器，路由器跟互联网相连的网段是四个一啊，这个一点一点零，这个网段啊，是这个网段啊，明白。好，我们首先就配一下，配一下这个路由器它几个接口的 ip 地址吧。首先 同意一下，名叫 rock， 然后四个接口樱桃费是记零杠零杠零。 ip orgs 幺九二点幺六八点一点二五四，对吧？这个啊，这个接口他是研发部的网关啊，问，这里面都是二五四啊，我们把它设置成都是二五四，然后二十四的网。对啊，这种你一定要看得懂哈，别这个你就看不懂的话，那那就那就有点扯了哈，像这基础也看得懂。然后接着 interface 退出来哈。 interface 给大家超选记零杠零杠啊，一，其中间这个加，这里面可以加个空格，加个空 额，都一样啊，反正最后他都能够识别到 ipipitz 幺九二点幺六八点二点二五四，也是二十四位的野马。然后还有两个接口， interface g 零杠零杠二啊。 interfaceg 零杠零杠二，然后 ipirpods 一点一点一点二五四，然后二十四位的 我还是把这个给关掉啊。昂度衣服没心是樱桃已对过，但他总弹出削起来啊，比较烦人。樱桃肺是意思一，不是一二串卡，应该叫以一贴去一对列尺四杠零杠零，就上面连服务器的这个接口也是服务器的网关是多少呢？ idss， 幺九二零幺六八零 三点二，这是二五四吗？是吧？二十四位的好。路由器上三个接口配好了，我们接着来配配互联网这边的接口，相当于通过一台路由器去模拟互联网吗？啊？ interface interface in interface g 零 g 零杠零杠零， 这个是四个一二十四位的。哎呀，有没有配错啊？没问题啊，四个一二十四位的，这个配完之后啊，问他一个问题啊， pc 一他能不能拼通互联网能不能 啊？拼一下试一下。拼四个一啊，不行是吧？为什么不行啊？因为你出口这没有路由啊，就是你的，你的这个流量，你拼互联网，你首先能给默认网关，默认网关上他有互联网的路由啊， 不是问网吧上他还真有，是吧？哈？问网上还真有互联网这边的路友。互联网就一零网站吗？啊？一一一一只网站他还是直联路友他是有的啊，他是有的， 但是，但是你这个流量到了我的，到了我的这个叫，这叫叫什么啊？到了我的，呃，互联网这条路由器之后，他有没有一点零，就是一点零这个网段啊？有没有他都会有没有是吧？你处理 ip volvingtop 有没有？他是没有没有研发部的这个网段的啊，所以流量回不去吗？啊？怎么办？ ip 如此一个写一条默认路由啊，默认路由指回去吗？ 输的路由器幺点幺点幺点二五四是吧？啊？写完之后你现在来拼通不通啊？通了是吧？啊？通了，接着你这边拼一下。拼互联网 也是能拼通的，是吧？相当于互联网这边他有灰尘的路由了。路由啊，或者数据转发一定是一个来回的过程，希望大家注意一下。然后 pc 一拼一下财务福气，能不能拼通幺九二点幺六八点三点一百，应该是没有问题的啊，没有问题。然后 pc 二这边拼一下财务福气，拼幺九二点幺六八点三点一百 啊，也没有问题啊。像这种的话，如果你来这地方听的不是那么清楚或者是有疑问你可以暂停一下来自己好好的思考一下啊，因为每个人的基础不一样是吧，有些人觉得这东西挺简单的啊，听医院就过了，或者他还快进，还有还有两倍数钱啊，有些人可能他一倍数钱他就觉得还是有点难是吧。啊，普通人基础不一样啊，我不可能照顾到所有的人，我只能按照大部分人的节奏啊去走明白 ok， 有有疑问的你可以去百度啊或者是到群里面问一下啊，都可以啊都可以。我们发现啊这时候 pc 和 pc 二都能访问互联网了啊，都能够访问财 不服气相当于把网络给整通了吗？然后互联网能不能防财务服下听一下幺九二零幺零八点三点一百啊，也是没有问题的是吧。啊也是没问题的。通了那这时候我们就要写 aceo 喽啊，要做限制是总经办人访问吗或者总裁办的访问其他的都访不了我们就直接来写高级 aco 啊， aceo 三千啊。若规则一般我常用的就若十啊，若二十若三十当你说若一二三行不行也可以，那就看个人的习惯吧 啊一般来讲我们不同的这个规则之间啊他还是要有一定的间隔方便你以后去插入一些规则嘛。是吧，所以坐实第一条规则。然后研发部啊，是迪代的啊，就是迪代 起来 ap 硕士啊硕士幺九二零幺六八点一点零零点零点零点二五五研发部然后 justinacing 是财务部。研发部是一个网站吗对吧。财务部这里面没有提财务部有多少福气，假设财务部就一台主题，就是三点一百这台主题，所以 匹配一台主题，怎么匹配？幺九二点幺六八点三点一百，然后零点零点零点零，或只写一个零也行啊，我们前面讲理论的时候给大家去输过哈，有四个零可以说说，说成一个零。 那第一台规则把研发部流量给拒绝了，记得入了二十 propec， 总裁办是不是允许的啊？ app 元幺九二零幺零八点二点零零点零点零点二五五，然后这是类型，幺九二零幺零八点三点一百，然后零。 第二条规则把总裁办放进第三条，是不是其他的流量，比如说来自互联网的流量，我会把你给拒绝掉。来自互联网的流量是多少？互联网的源知不知道啊？比如说，哎，互联网的源就是就是这个，这个地址在吗？啊，不一定啊，互联网的源其实可能很多，但是这里面我们通知我们去模拟，是吧？ 啊，所以互联网的我们最好写成 any 吧，但你写这个一这个网络也行哈啊，只是只是实际项目当中，互联网里面应该是很多的啊，所以若三十应该是迪赖，迪赖 apa 啊，比其他的任何 ip 应该硕士吧，硕士硕士， any 就任何，然后 thisternation， 是不是我们的财务福气啊？这台幺九二点幺六八点三点一百，然后零，记得在 pce 上啊，去拼一下财务福气。能不能听懂，哎，还能听懂，你说，哎，老师，你这个 这些不是写吗？为什么？为什么还能听懂啊？那原因很简单吗？你写了，你没有应用啊，我们要在接口上去应用 acl 啊，在哪个接口应用啊？可以在这个接口入接口是吧？在入接口，入接口，然后 这里面也是入街口啊，因为你流量都是从这三台，相当于这三台去访问我的 siri 啊，他是圆啊，从他到他啊，肯定这是入，这是出，对吧啊，如果写在入接口上，你也在好几个接口上去写，不要麻烦啊。所以我们直接在出接口上去应用不就得了吗。啊，一条费是一四杠零。杠零怎么写的呢？叫川 fake 啊，川 fake， 川 fake failure 流量过滤啊。流量过滤应该是奥特曼的对吧？就是流量从他出去，他访问，他是不是这么访问的，这是不是出借口啊？是出借口，奥特棒的，然后 acl 三千 推出来看一下。 pc 一还能不能访问我的财务福气啊，能不能，不能是吧。 p 十二，能不能访问我的财务福气啊，可以，对吧？总裁案是放行的啊， inter nature 还能不能防财务服气。访问不了啊，访不了相当于 就实现了我们刚才讲的那个效果了，但是 pc 一你访问互联网是不是影响不受影响是吧。啊？ pc 二访问互联网有没有影响啊？没有影响， 这就是我们刚刚讲的啊，他要求的一个效果啊，已经给实现了啊，通过扩展的 acl 去实现的啊。像这个题能不能通过啊，通过基础的这个 aco 啊去实现啊，扩展 aco， 斯科一般叫扩展 aco 啊，华为的叫高级 suv。 还是一个意思啊，一个意思， 如果是通过基本 ac 的话，就整个匹配员吗？是吧。啊，整个匹配员啊，实验起来是一样的效果啊，大家自己可以敲一下啊自己可以敲一下，这样我就不不该去重复去演示了，反正把这个实验给做会了啊。你基本上去做一些考试出现 acl 的题啊，问题应该是不大的啊。理解， ok， 这是关于 acl 的配置，关注老师不迷路哦。

通过使用高级的 acl 限制不同网段用户的啊。护法这里边呃给了两个部门哈，研发部和市场部， 他说，啊，配置的需求啊，某公司通过路由器实现各个部门之间的互联啊，为方便管理网络管理员为公司的研发部和市场部规划了两个网段的 ip 地址下面。这在两个微案里边啊，然后两个子网要求路由器能呃，能够限制两个网段之间的互访啊，防止公司机密的泄露。就他和他之间是不能互访的，怎么实现 啊？可以配置高级的 acl 去时间 acl 啊，三千零一三千也行啊。若迪赖 ip 原是幺零点幺点幺点零， 那就是研发部喽，是吧。啊，研发部那目的是二点零市场部他访问他是拒绝的，然后接着另外又写了一个 aceo 是圆，然后就他 访问他，对吧？正好是反方向啊，也是被拒绝的。接着接着就是在接口上去应用吗？对吧？啊，就是他访问他这个接口是应，他访问他这个接口是应是应，然后把这两个流量给给给他给盖掉是吧？ 这这是川费的费用，因为前面已经匹配了，就应该是拒绝的是吧。拒绝的把这个流量，把这个拒绝的 acl 直接写到相应的接口之上，相当于就实现了流量的过滤啊，流量过滤哎，有人说，呃，老师，这个我们网络访问的话是不是一去然后一回啊？ 一回回回是怎么回回是他回他吗？是吧。啊，其实严格意义上来讲我们禁用一个方向就可以了啊，他访问不了他，他也访问不了他了，是不是啊。禁用一个方向也行啊，但是为了安全，你把两个方向都给禁用了，就是他不能访问他，然后他也不能访问他，你把 两个方向同时禁用，那这样安全性会更高吗？啊，严格意义上啊，来讲的话，你禁用一个方向其实也是可以的啊，把一个方向禁用了，就即使你能访问到他，他能量回不来，这访问肯定也是有问题的，对吧？ ok 啊，所以这里面啊，你你写一个啊，也 ok， 这这这一个不不用写，你写写上面一个都行。好吧，好，我们下面看。呃，两个思考题啊，就下面的选项当中哪一项是合法的？基本 acl 的一个写法 按一下啊，有人看哎，这个好像有点有点不熟对吧，哪个看着都像啊。啊，你去梳理一下，看一下我们前面给大家讲的基本 aceo， 基本 aco 肯定是要有圆的，前面两个是错的 是吧。啊？语言技能是要能匹配以 ccp 吗？能不能啊？不能啊，所以是不是选择啊？高级 ac 可以基于哪些条件来做定义来定义我们的规则？高级 acc 他能够匹配的条件就可多了啊，原木 ip 是吧？原木端口号啊，然后 还还有这个，这个鞋一号是不是包括这个端口大于多少，小于多少，这些都可以啊，所以高级也是有，他能匹配的东西是很多的啊，他能匹配的东西是很多，关注老师不迷路哦。

作为网络工程师呢，我们都知道，不管你是做弱电安防监控或者是桌面用为以及公司企业的网管，我们都必须要去学会呃，网络设备的访问控制列表， icr 的一个详细的一个事情，那么今天我们就详细给大家去介绍一下 标准型的 sr 以及高级的 sr 或者是二层 sr 的具体的使用方法。 好，我们来看一下这张透谱图。呃，一共有三台 pc， 那么有一台交换机，那么我们来说一下，每一台 pc 呢，都已经预设好配置了 ip 地址，那第一台 pc 呢，配的是幺九二点幺六点一点二啊。 第二台批新呢是幺九二减幺六八点二点二啊。第三台批新呢是幺九二点幺六八点三点二，他们的网 弯呢，都分别是点一啊，而且呢在交换机啊，已经做好了三次，原来不了不通啊，现在我们先来测试一下，我们在 pc 一样直接可以轻松其他两个 pc， 说明呢，我们现在呢是已经做到了全网互联互通 啊。二点二，那么现在这个二点二是可以通的。好，那么再来看一下，三点三要三点二，三点二呢，嗯，也是可以通的。 好，那么三点二也是可能推通的，那现在我们需要通过访问控制列表来限制某一台 pc， 比如说 pc 一，那么 不让他去访问 pc 二或者 pcy， 那我们怎么做呢？第一个，我们先来了解一下咱们这个呃标准的访问控制列表。好，现在呢，我们在交换机啊，我们 去创建一条标准的 sirsc 二，叫这里面会有个号，在这个号呢，我们打开可以可以看到，那标准的是两千到二九九九，那高级的是三千到三七九九九，来，那二层的是四千到四千九九九九， 那在这里呢，我们先用标准呢，然后呢再用高级，然后最后咱们二次呢啊，那标准呢？我们就用两千， 建好两千这个号，以后呢，那么在这里我们定义一个 s 二原地址的限制。好，那么我们比如说入了叫体内啊， 拒绝咱们的这个照数幺九二点幺六八减一点二啊，拒绝这个地点啊，这一个访问啊，那我们再敲一个啊，然后呢我们再敲一个入了叫 formatipsos， 爱你就行了，好，爱你。好，那做完以后呢，我们需要在这个交换机就接 pc 这个一号接口呢，我们要进一个进来的流量， 好进入到 g 零杠，零杠一啊，然后呢那叫川飞客啊，菲尔特，然后呢这里会有个方向，就是进入的方向，进去的方向做一个咱们两千的，一个吊用 ac 二两切，一个吊用啊，在前面呢，我们要跟上一个叫 ac 二，然后呢再跟咱们的两切中断。靠啊，现在我们调用完，接下来再测试啊 pc 一，看能不能凭空 pc 二个 pc 三呢？来，先拼一下 pc 二，但那 pcpcpc 二呢？已经是拼不通了。来，那么我们现在再试一下拼一下 pc 三，看能不能拼通呢？ p c 三呢？是三点二，也不差好， p c 三呢，其实也是不能回去的啊，那这是我们这个标准的一个呃， 控制的英法，那接下来我们要再测试下高级呢，那假如我有这样一个需求，就是我只想让他可以拼成 pc 二，但是不能拼成他拼三，那这个怎么做呢？

哈喽，大家好，这里是网络专家 blog， 我是你们的黄老师。昨天的话，有个朋友在我头条后台的话给我留言问这个 acl 是怎么用的，那么今天的话黄老师呢，就在这里教大家这个 acl 怎么用的。 acr 的话他叫做一访问控制列表，访问控制 列表他的配置办法的话很简单，在华为里面我们一般呢是 acl， 然后呢 mar， 然后后面的话就可以配一个两千到两千九百九十九，三千到三千九百九十九这样子，两千九百九十九， 两千到两千九百九十九，这个呢就叫做一个基本的营销， 三千到三千九百九十九十九，这个呢就叫做一个高级 a 箱， 基本的 acr 的话就只能匹配 ip 啊，这些高级的话就可以匹配到 udp， tcp 加端口号这一些。 那么今天呢，我要跟大家讲的话就是这个 acr 怎么用啊？在这里举个例子，假设我们在一个交换机上面配置了一条 acl 两千， 然后在营销里面的话，我们一般要设置这个规则路的话，有一个啊，五五的话 就是他的一个编号啊，然后这里有两个动作，一个是 pomet 允许或者一个 dnat， 假设我们这边匹配一个一 ip， 然后瘦就匹配一个原 ip 幺九二点幺六八点零点零，然后野马二十四位，对吧？ 我们写了这条 acl 之后呢，我们还需要啊加一个工具来调用这个 acl， 我们一般的话是用这个 chefe 杠 fate 这个工具啊，来调用这个 ac 哦，或者呢我们在做那个 mat 的时候呢，也需要调用这个 acl 来匹配那个原木 ip， 还有一个就是我们再配那一个啊，挑两或者 s h h 这个协议，我们也可以在那个， 在那一个进程下面的话调用这个 acr， 就是我们可以通过 acr 呢来控制哪一些人可以访问我们这一台交换机。 好，那么今天的视频呢？就到这里结束了，如果大家喜欢我的视频可以点击关注，再见。

公司通过 switch 实现各部门之间的互联。为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的 ip 地址。 同时为了隔离广播狱，又将两个部门划分在不同 vlan 之中。现要求 switch 能够限制两个网段之间互访，防止公司机密泄露。首先配置两台 pc 的 ip 地址， 启动设备 关闭日至输出 批量创建 wen 二十和 wen 二十， 配置 switch 的接口记忆零零幺和记忆零零二为 access 类型接口， 并分别加入不烂石 何不练二十， 创建 veranifa 十和 verannifer 二十，并配置个 fananifa 接口的 ip 地址。 现在可以看到两台 pc 可以互访了。 接下来创建高级 acl 三千零一，并配置 acl 规则， 拒绝任意部门访问另一部门的豹纹。通过这里，以拒绝研发部访问市场部的豹纹通过为例， 配置留分类 tc 一，对匹配 acl 三零零一的豹纹进行分类， 配置流行为 tb 一动作为拒绝豹纹，通过 定义流策略，将流分类与流行为关联， 在街口下应用流策略 查看 acl 规则的配置信息， 验证配置。

哈喽，大家好，我是神马课堂的乔老师好，今天我们来看一个高级 sl 安利配置。 那么在这个配置当中我们会发现多了两个啊，我们之前不太常见两个设备，一个叫 ftb clan， 一个叫 ftb server。 那么在这个实验当中，相当于我们在这个地方需要用一个 ftp server 启动一下，然后有 clan 来访问 啊，大方默认你拖进来之后他就有可烂的。 ftv 是我家的一个 b 柱，这两个设备是从中端里面选的，这两个一般都为程度出现，那么这两个和我们之前用的 pc 略有区别。 打开之后我们看一下客栈段，客栈端这个地方专门会有一个客户端的信息，有的话他可以作为 ftp 的客户的啊，或者 htp 的一个客户的。那么基础配置其实 是和我们 pc 端差不多啊，虽然说界面有所区别，还是配 app 地址在网页面和网关。 再一个他如果想测试联通性的话，他需要在这里面直接输那个目的 ip 地址，然后话在这里面输这个拼的次数点发送他。和我们 pc 端他会有一个专门的命令窗口不太一样，那个命令窗口直接我们需要输命令拼目标 ip。 再看一下 solo 端， solo 端其实在里面出了几种配置，那么在里面有一个服务器的信息啊，他可以做 ds 的一个服务器，也可以做 ftp 的服务器，还可以做 htp 的服务器。那么如果说你想用相应的服务的话，你点头点他， 点了之后你可能需要启动一下他才能使用啊。这样大家看一下实验要求。首先我们在这个 top 当中会 看到设计的三个网段啊。所以话我们需要先利用 of 的 pf 协议，使这个全网能够联通。联通之后，这个 clan 就应该能够和 sir 进行通信。也就是说如果说你这边 sir 把 ftp 服务启动，那么 clan 他就可以访问他了。所以我们去验证一下是否能够成功访问。 下面这个实验我们需要做一个高级 a、 c、 r， 那么我们需要配置一个高级 a、 c、 r 来拒绝 f、 t、 b 克拉的访问。 f、 t、 b、 c、 r。 有的话我们二三步需要做一个对比啊，在我们前期情况下能够通信的情况下，他能访问大号，我们设置完 a、 c、 r 之后，他就不能访问 啊。这是我们前面一直给大家强调的。做 acr 之前，其实他要保证全网是通信的啊。全网能够通信的情况下，我们再定一个访问控制策略啊，就是不允许你来访问这样啊。还是就是说如 如果你全网都不通，他根本也没没法访问，所以说你也没有必要低于一些这样。 好了，在我这个 ospf 我们还是给大家再做一下，大家顺稍带温习一下啊。前面这个地址配置啊，我们已经配置完了，我们直接起 ospf。 我们在 a 二一上，我们起 ospf 一啊。露台 id 一点一点一 啊，是一个 a 零是吧？ ny one 考试幺九二点幺六八点一点零。然后零点零点零点二五五回车。然后我们再把右边往这啊宣告一下，这个是幺零点一点幺二点零啊零 点零点零点二。呼好了，第二以上选好完毕。然后是 a 二。嗯，我 spf 一，然后是 ad 二点二啊，黑零 netwalk 幺九二点幺六八点二点零零点零点零点二五。然后再来 twok 幺零点一点幺二点零零点零点零点二五。 好了，这我们宣告完毕啊。宣告完毕，稍等一下啊，他这个邻居关系就能出来啊。怎么出来？ 好了，做完之后的话，其实我们可以在这里面了。退去。退去之后我们可以看一下这个 dcpip 中的 t 宝是吧。我们看一下路由表，路由表 啊，能够看到有一个可以到达幺九二幺六八的一点零啊，这个幺九二二点幺六八点二点零，他是支点的。那么同样在配件衣裳 我们也能够应该也能看到到二点零的，是通过 ospf 可以到的。下面我们从 clarend 来测试一下到 celer 端是否能够联通。我们从 clarend 双击双击我们，那么我们的目标 ip 我们就出幺九二幺六八点 二点一啊。次数我们按照四次来做点发送。 那么下面这个位置就会看到拼成功三次，失败一次啊，也好，中间可能有一个丢包。如果你再次发送，那么拼成功四次，失败零次。也就是说我们从 clan 端到三二端，他是能够通信的啊，因为这一端的地址就是二点一。下面我们需要如果说我们想看 ftp 的一个效果的话， ftp 是一个文件传输协议，也就是说他能够提供这个文件传输的这样一个服务。首先我们需要在服务器端先启用这个 ftp sort。 那么取用的方式是首先我们需要去指定一个，你既然是做文件服务器，那么你就应该有共享出去的目录，那么我在这个位置上先指定一个目录， 那么上方我们现在看到都是一个什么都是我们本机上的一些目录是吧？这样的话我从这边随便选一个吧，我们选一个这个长软件啊，选一下这个目录确定啊，然后这里面的话是我的一些长用软件，然后我们现在把它启动一下 啊，激动打电话，这边的话随之停止就亮了啊。然后你随时可以停止掉。下面从 clan 端， clan 端我们如何来访问呢？从这个有一个扣端信息是吧，我们刚才输一个，首先在这边你选中哈 ftv clan， 然后在这位上我们输一个幺九二点幺六八点 啊，这位是二点一是吧，二点一断号用二幺。然后直接咱先点一个什么点一个登录， 那么这样话从右边就会看到服务器文件列表，这边是本地文件列表，也是如果说我们在这选一个文件 啊，选用文件，然后点向左的一个箭头，这说明完成的是一个下载操作。就是说从这个夫妻上把这个文件下载下来，点一下，点一下他就会放在哪呢？放在我们当前的这个本地文件列表当中显 显示的这个沐浴露下面，一会放在 c 盘的跟沐浴露下，那这个位置显示我们接下来成功，而且其实我们能看到哈在这有个 bgp 的啊， xm man 啊这样一个东西。 好了，这样的话这就是一个 clan 的访问 soler 这样一个在模拟器当中的一个实现啊。那么我们登录成功之后，我们可以选择登出，这样就可以了啊，说明第二步已经完成了，就是 clan 的和 solve， 他是能够正常通信，而且可以从上面下载文件。 然后我们再做一个什么高级 a c 二，那么根据我们前面做脚呢，高级 a c 二，一般是你可以把它放在哪呢？放在这个梨 原端啊，原目的更近的这个单位上。所以话我们把这个 a c 二准备定义在这个接口上啊。然后话我们先去定义 a c 二，然后在那个接口下进行应用是吧，我们定 进一个高级 a c 二，他的编号是从三千开始。这样的话我们直接写一个 a c 二三千，然后说一个若我们现在想去什么呢？想不让这个 clan 来访问这个这玩意，这样的话我们就去做一个抵纳 啊，进来。然后是我们后面写一个 tcp 啊， tcp ltp， 它是采用 tcp 闯入协议的，然后加一个 sossss。 指定谁呢？幺九二点，幺六八点一点一，就专门这个地址零， 然后他的目标地址啊，我们说一个单形内饰啊，他会有两个选项，一个是目标地址，还有一个目标 这个端口号。那么我们先指定一下目标地址，目标地址是谁呢？就是那个服务器地址。幺九二点幺六八点二点一，然后精确匹配一下啊，零啊，这个零代表零， 零点零点零啊，匹配一下这个主机啊，可烂团地址，还有一个骚扰端地址，就是这个是可烂团是吧？一点一，这是骚扰端。二点一他的具体的地址，然后分别精确匹配一下，然后后面有一个什么呢？ 这个还有一个，等于是端口号。这个是什么？基于我们一个服务来进行禁止，你不是不允许访问这个 ftp 服务吗？而这个 ftp 他所对应的端口号是二零和二幺 啊。那么在这个短号这个地方，我们打个问号看一下啊，如果有精确的只有一个短号，比如说 http 服务，那么他所用的多少号就是八零，那么这样的话你可以用这个一丘啊，等于给定的多少号，比如我们确定都是八零，那么如果你不允许他访问这个 htp 服务，那么这样的话你可以直接写一个 秋八零啊，这个是大于哪一个端口，这小于哪一个端口。再一会这个是一个什么？有一个范围啊，两个端口号之间呢，这样一个范围。那么对于我们这个 fgp， 由于他所设计的是两个段号，所以话我们在这写一个润值二零二幺啊，这样就可以了。 youtube is this 看一下我们写完之后的话，这个位置就有一个啊，就有一个编号的叫若虎啊，若虎就是这是一个什么呢？这是一个就是啊，编号为五的，而且这号我们是不是没有指定啊，没有指定他会自动生成啊，自动生成 那账号这个我们就可以了啊。可以完了之后的话，我们再进行什么什么进行一下应用啊。啊铃斜杠铃斜杠铃啊，我们进这个端口，然后我们做一个 川费 filter 啊，这 filter 然后我们做一个什么这个音棒的 tcl acl 三千啊。在入口上我们用一下这个呃定义的这个 acl 的规则一点规则， 然后我们再来看一下啊，前面我们是不是已经验证能登录是吧，我们现在进行 acl， 并且把 acl 应用了啊，一定不要别忘了应用啊，你不能说我光把 acl 定义了就可以了，一定要在接口下应用一下。然后我们再次来尝试一下。同样啊，这个服务器地址没有变，我们再登录 这首的话，他会显示一个啊，红色的一个字叫登录中。但是上次你会发现我们在登录的时候是不是没有这个啊，没有，这个就是下面是比较快一点，接着登号，但发现在你没发现啊，他会显现登录中，而且时间稍微长一点。最后 弹出一提示，告诉你连接服务器失败啊。再好就说明了什么，我们的 acl 起作用啊。再一个，做这个时间的时候一定要注意一下啊。首先这两个路由器一定是 ar 路由器啊，这个如果说特别是这个啊，我们因为需要应用 acl 啊，所以话我们一定使用 a r 路由器。另外的话，一定要先前期是什么呢？先用 clan 去测试一下，能够成功访问 f t p 三五，然后再去定义这个高级意思啊，来拒绝 啊，这样一个访问啊。这样的话，前后一对比，你就会发现这个 a c 二是起作用啊。如果说你前面也不测啊，前面也不错，你直接做 a c 二这块就有两种可能啊，有可能是因为什么你原来那个网络就没做通 啊，这个是有可能的啊，你没有做通气，他本身就不能访问。所以话其实就很难去判断说你到底这个 是 acl 起作用的，还是你网络本身就没有做通啊。这个是我们在整个做实验过程当中一一般就会给大家说哈，你做一步之后你小心验证，比如说我们的后来的 pf， 那么你做完之后 全网是不是通啊？你可能有时候路边你们能看到，但是有的话你也反应也是反应不到啊，反映不到，有可能出现问题是什么呢？有可能是克兰特你网关没有配置，或者 sorry 转网关没有配置啊，或者配置错误了。 这个前面我们的学生也有出现这种问题，整个这里面这个路由表做的没有问题啊。但是的话，你这一端这个网关配错了，和这一端网关配错了，你没发现他也不同 啊。所以一定要多一步验证一步啊，特别阶段性的东西啊，要去啊这个验证一下，验证完之后如果出问题及时插错啊，插错之后再多下一步啊。带的话，对于这种 acr 这个这这一类的事业啊，建议大家做前后对比， 你前面是可以的，你多一个语句之后，他就啊不可以了啊，不可以呢，说明一下其中 啊。这样好，今天的时间就给大家讲到这啊，希望大家点赞关注转发。好，谢谢大家。

大家好，我是华为讲师长城镇，今天讲解访问控制列表。在企业网络当中，设备进行通信的时候，需要去保证数据传输的安全可靠和网络的性能稳定。 访问控制列表 sl， 他可以去定义一系列的不同的规则，去设备根据这些规则去被数据包进行分类，并针对不同的类型的报文进行不同的处理。 他相当于一个筛子，把我们想要的一个信息给他留下来，不想要的信息呢，竟然筛掉。常人可以实现对网络访问的行为的控制，限制网络流量，提高网络性能，防止网络跟进。 学完本课程以后呢，嗯，可以去了解掌握 sl 在前往中的应用，掌握 sl 的工作原理和掌握 sl 的配置。下面 首先看一下 icl 的应用场景， ico， 他可以通过定义规则来允许或者拒绝流量的通过。比如说现在有两个网段，分别是幺九二幺六八点 一点零网段和幺九二幺六八点二点零网段。现在如果我让幺九二幺六八点幺点零网段的一个主机 i 和主机 b， 他只能去访问英太网，他不能去访问服务器。 而对于幺九二幺六八二点零杠二四的一个网段，他的主机是一个主机地，只能去访问服务器，不能 去访问英特尔的话，我可以去利用 icl 去定义规则，比如说在阿 t i 上，我定义他只能通过的是一点零网站。在 g 零杠零杠一级口罩上，我定义他只能通过二点零网站， 这样的话就可以去通过 icl 来实现这样的一个应用场景。第二个呢， icl 他还可以去根据需求来进行定义过滤的条件，以及匹配条 肩后执行的动作，那比如说我们在阿 ti 上去定义他匹配的动作，如果匹配的网段呢，可以去进行加密， 那现在呢，对于主机埃他短幺九二幺六八一点零的网段呢，他是未匹配到的，所以他最终是以普通数据的形式呢去进行转发。对于幺九二幺六八点二点零网段呢，他是匹配上的，所以对于这样的数据我们要加密后去进行传输。下面我们 就来具体看一下 icl 的一个分类， icl 一共分为 icl 一共分为三大类，第一个就是基本的 icl， 基本的 icl 呢，他 的编号范围是两千到两千九百九十九，他可以去使用原 ip 地址来进行去匹配豹纹。 第二个是高级 sl， 高级 sl 他的编号范围是三千到三千九百九十九，他分别可以去通过语言， rv 地址目的 rv 地址云端口号、目的灯号等等来进行匹配包围。 最后一个是二层的 icl， 二层的 icl 他可以去使用原木地麦克的这个地址，以及二层协议的类型啊等等二层的信息来匹配豹纹，他的编号曲折范围是四千到四千九百九十九。 那下面我们来看一下，具体看一下 icl 的一个规则，首先我们去进行创建一个 icl， icl 我们做的是两千， 然后去看一下他的命令， r 五代表他是一个不常威武的，对于这条匹配到的路由，他执行的是抵纳拒绝 匹配的陆游分别是幺九二幺六八点一点零，后面跟的呢并不是野马，也不是反野马，跟的是通，佩服。零点零点零点二五五，他表示呢和我们以前见到的是不一样的，这里面的零代表的是不可变，一代表的是可变，所以 我们前面的是零点零点零，所以说前面对应的幺九二点幺六八点一是不可变的，而最后对应的二五五可变的，所以对这一条我们的匹配到是幺九二点幺六八点一点零到幺九二点幺六八点一幺点二五五的地址是可以去匹 配上的。第二个呢是他不长为十的，他的一个语句呢也是抵纳癌针对的是原幺九二幺六八点二点零王段，他后面也是跟的零点零点零点二五五，所以他匹配上的地址范围是 幺九二点幺六八点二点零到幺九二点幺六八点二点二五五。最后一个呢就是他的一个十五张为十五的语句， 这时候他的状态也是顶囊癌圆，分别是幺七二的幺六点零点零，后面跟的通，佩服是零点零点零点二五五，所以他的范围也是幺七二点幺六点零点零到幺七二幺六点零点零点二五五。 这个时候我们当我们有数据通过 rti 的时候，我就开始进行匹配，比如说幺七二幺六点零点零到二系列网段来进行通过，那 我先进行匹配的是不长为五的一句，他的一句可以看到他的取值范围匹配不上。那， 那我们接下来继续匹配，看一下不长为十的一个匹配，可以看到他的地址也不在范围之内，也匹配不上，那我们接下来去匹配一下不长为十五的， 可以看到我是可以去匹配的上的幺七二的幺六点零点零高二四正好在我们的原地址范围之内，所以是可以匹配到上的。我们采取的操作是抵纳拒绝掉，也就是对于阿奇埃来讲，我是 不会去转发幺七二点幺六点零点零到二十四原地直发过来的。一个豹纹一个 icl 可以有多条简单或者普命的语句组成，每一条语句描述了一条规则。设备收到数据流量后会逐条 匹配 sl 规则，看其是否匹配，如果不匹配则匹配下一条。一旦找到一条匹配的规则，则执行规则中定义的动作，并不再继续与后续规则进行匹配。如果找不到匹配规则，则是被不对豹纹进行处理。 下面来看一下基本的 sl 的配置，现在可以去创建一个 sl， 然后去指定一个他的语句，指定他的 evil 是五， 他的匹配的规则是 dna， 原地址是幺九二点幺六八点一点零零点零点零点二五五，他的地址范围是幺九二点幺六八一点零到幺九二幺六八幺点二五五。然后我们在阿 t i 的记零杠零杠零那个接口的初方向去进行引入，然后通过 p icu 两天的命令，我们可以去看到我们的 icu 的规则，然后通过迪斯科来揣测一颗菲欧特啊 plazri 靠的可以去查看设备上去查看基于 icu 进行豹纹过滤的一些应用消息信息， 来去进行帮助用户了解对豹纹过滤的 sl 进行豹纹过滤的应用信息，那这些信息配置的情况并核对是否正确，而且可以去有助于进行相关的故障判断和排查。 下面看一下高级 sl 的配置，高级 sl 的配置呢，相对来讲他就比较精细一些，那他的一个编号范围是三千到三千九百九十九，我们去进行创建一个 sl 是三千，然后看一下他匹配的一个规则，可以看到他匹配 的规则是用于限制原地指示幺九二点幺六八一点零杠二十四目的 ipd 指示幺七二点幺六点四点一，目的端口号是二十一的所有的 tcp 的保温。 第二条规则是用于限制原地制范围是幺九二点幺六八点二点零放二十四，目的地址是幺七二点幺六点十点二的所有 tcp 的豹纹。第三条规则是由于匹配所有的 ip 豹纹，并对豹纹执行的是允许的动作。 然后我们在接口下去进行出方向去进行应用，下面可以通过命令去验证一下，可以通过以斯普莱 sl 三千可以看到这三条 slsl 呢，它还可以去应用在 note 上， 比如说在我们，呃这个网络下，我们可以去进行确定哪些内网地址是通过哪些特定的外网地址去进行地址转换的， 比如说现在要求幺九二点幺六八点一点零杠二四中的主机，他使用的是地址尺一中的公网地址来进行地址转换。而幺九二点幺六八二点零杠二四中的主机呢，使用的是地址池二中的公网地址来进行地址转换。那我们可以去通过 icl 来进行去配置。 首先呢我们可以用丝网幺九二幺六八一点零杠二十四，使我们使用地址尺二二零点幺幺零点十点八到二二零点幺幺零点十点十五进行地址转换，而丝网呢，他是幺九二幺六八二点零杠二十四，然后将使用地 地址是二零二点幺幺五点六十点一，杠二零二点幺幺五点六十点三十来进行地址转换，然后我们会在接口下去进行应用，将内存以 icl 去进行绑定， 那下面呢，我们通过一个实验来检测一下，现在我们看一下这三团 pc， 这三团 pc 在统一垄断，那我们正常情况下 pc 一 pc 二都可以去访问 pc 三， 那现在我们假设让 pc 二他的网呢是幺九二幺六八点一点二，不能去法人 pc 三，那我们可以通过在交换技巧去做配置。首先我们创建一个 icl， 忘记抄点他的匹配规则， 然后在我们的端口下去进行去使用，在一零杠零杠三级口下去进行去 去使用 sl， 在他的出气口方向我们去绑定 icl， 做完以后我们去检验一下，然后我们在 pc 一上去进行检验一下，我们发现 pc 一他 pcpc 三是可以相通的，那 pc 二本来我们 ppc 三他也是可以相通的， 但是他现在不同，是因为我们在他的接口相机做了一个策略， 当他匹配上幺九二幺六八一点二，即购地址的时候呢，他进行抵拿矮调，所以最终呢 pc 二他是与 pc 三是不相通的。下面我们来 来看一下啊。一个问题来总结一下本节课的内容。首先个 l 高级的 sl， 它可以基于哪些条件来进行策略？可以 基于原木、 ip 原木等口号协议类型以及 ip 流量分类和 tcp 标记值等等，这些参数可以。

小杰的话呢，已经给大家介绍了一下我们访问控制列表 acl 里面的一些基础概念，包括呢我们的几种分类的方式，他分为基本 acl， 高级 acl 以及比如说基于二层的 acl。 那么我们这一小节的话呢，就通过我们几个案例来介绍一下 acl 的使用的一些基本命令，来加深大家对于 acl 的理解。那么我们首先先来看一下基本 acl， 因为我们几种分类当中，基本 acl 跟我们高级 acl 使用的场景是比较多的。 那么对于我们 h l 使用的话呢，第一步我们要首先先去创建，那么创建 h l 呢，我们需要在 系统视图下啊，华为的这个系统视图下，然后呢使用 a、 c、 l 的关键字，那后面呢加上我们 具体的这个编号，那这里的这个方括号呢指的是你可以使用也可以不使用，这个参数可以忽略。那么我们在这里 a、 c、 l 的范围，我们要注意一下 怎么判断他是属于哪个类别的 acl， 就是通过他的数字编号范围来区别的，那么其中两千到两千九百九十九这个范围，他创建的就是一个基本 acl， 那么我们后面还可以修改他的一个匹配的模式，那默认情况下呢，他是根据你创建的规则，规则里面编号越小，那我收到数据的时候会先去匹配这个规，我们编号小的这样的一条规则， 那么同样你也可以去修改他，比如说我先去匹配我们范围小的这样的一个规则，那这是我们基本的一个创建， 那么我们说如果一条 s l 创建完了之后只有数字的话，那么对于我们来说比较难理解啊，我这个 s l 具体应用在什么样的一个场景，那么我们可以通过给 s l 加命名 来匹配，比如说这个 acl 是用在 nat 地址转换当中的，所以我们可以创建一个命名型的基本 acl， 然后呢进入到具体的房屋控制列表当中去匹配，去配置相应的规则， 这是我们配置的第一步。我们首先要创建一条 a c l， 那么接下来我们的重点内容呢，就是在我们这个 a c l 当中去配置相对应的规则，那么因为最终我对于设备来说，你收到对应的数据，我是要拿 数据去匹配规则，所以这个规则才是最终决定你这个数据具体要去怎么应用的。那么对于我们基本 a c l 的规则，我们配置的过程当中， 这个弱是我们的关键词，那后面呢，每一个规则都需要有一个编号，那这个编号同样我们在这里也发现他是一个方括号，那么也就说这个参数你可以使用，也可以不使用， 那如果不使用的话，他使用的就是他默认的一个步长，比如说第一个规则编号为五，第二个规则编号为十，那么每一个规则都需要有对应的一个动作，那这个动作要么是林奈，要么是 permit， 然后在后面我们需要去做对应的一个限定， 那么在这个限定里面我们要注意一下，由于你的基本 a c l， 它只能使用原 ip 地 地址的信息去挑选符合我们想要的这个数据，所以后面的关键词会是一个 sos， 然后呢是目的地址，加上我们的通配服野马，不是子网野马，这个是大家需要特别注意一下，通配服野马跟子网野马的区别呢？我们在之前的小节已经跟大家介绍过了， 那么我们还有一个参数 any any 的意思呢？也就是所有的数据，你可以 deny any 或者 permit any， 拒绝掉所有或者允许所有。 这个是我们创建的这个规则，那么一个 a、 c、 l 里面你可以创建多条规则，每 一个规则需要有不同的编号，你可以自己手动去定义他的编号，比如说为一二三四五，或者使用规则当中默认的不长编号五十十五，这是我们基本的一个 规则创建。那么我们通过一个具体的案例来看一下我们基本的 a、 c、 l 它可以起到什么样的一个应用场景。 那比如说在这个拓谱图当中，我们在这里呢有一台交换机连接了两个主机，那两个主机的网段分别是一点零网段和我们的二点零网段， 然后交换机呢上面连接了我们的路由器，那我们外面呢有一个服务器幺零点一点一点一这样的一个服务器存在，这是我们比较简单的一个组网 top。 那么我们在这里面，首先在路由器上我们会给他配置对应的 ip 地址以及相对应的路由，那我们路由器要根据路由才能够完成数据转发。那么我们的这个需求是什么需求？我们先来看一下配置的需求呢？要 求在路由器上通过基本 a、 c、 l 来实现什么样的一个效果？他想要的效果呢是如果数据豹纹是来自于幺九二点幺六八点幺点零这个网段的数据，那么数据豹纹过来的时候把它给过滤掉， 过滤掉的意思也就是说这部分的流量我不希望把它转发出去，我希望把它阻止在路由器这。 然后如果数据报文是从幺九二点幺六八点二点零、三点零甚至四点零，任何其他的网段都是可以放行的啊，都是可以放行去访问我们的服务器的，这呢是我们的一个需求， 那么为了满足这样的一个配置需求的话，我们需要去做相对应的一个配置，那配置的第一步呢？就是我们刚刚说的你的路由器，包括你的主机啊，如果我们在这里有 做糜烂划分的话，你的交换机上这些基础的配置要先能够配置完。那么这些基础的配置首先你要先保证我各个主机能够正常去访问服务器， 我们在做过滤的前提，大家要注意一下，过滤你可以认为是对我们网络安全做的一种保护，那么在这里面对于我们其他的基础配置你要先配完，也就说网络联通性没有问题的这个情况之下，你再通过 a、 c、 l 去过滤一些我不想要的数据 啊，所以这是我们第一步要做的一个事情。那么第二步的话呢，因为我们对于幺九二点幺六八点幺点零这个网段，他是有一定的限制的，也就是说我不希望这来自于这个网段的数据能够去访问我的服务器，那么我们首先要做 做的就是要先把这个流量给他挑选出来，那么这个挑选呢，是通过 acl 去挑选的， acl 两千，当然你这里可以有两千零一，也可以用两千零二，都可以啊。然后呢去创建一个规则， 那这个规则里面我是拒绝掉了幺九二点幺六八点幺点零一，眼码呢是我们零点零点零点二五五，也就是说你只要你的前面 前缀二十四位是幺九二点幺六八点一，那这是我要挑出来的数据，那挑出来的数据我执行的这个动作呢是一点耐，那么剩下所有其他的流量我都是 permit any 的， 这是我们创建的这个基本 a c l， 那么我们这里面说 a c、 l， 它其实只起到一个挑选数据的一个功能，那么具体这个流量给它挑选 选出来之后，我到底是放行还是把它过滤删除掉，那么这些其实是看你 a、 c、 l 的一个应用啊。那么我们应用呢？对于路由器来说，我们应用在机零杠零杠一口，也就说我接收流量的这个接口， 从这个接口上我们使用了一个工具呢，是 traffic filter， 也就是我们数据流量的过滤，那么它的方向呢？是一个英镑的方向，也就说我从这个接口收过来数据的时候，我采用了过滤，那具体过滤是过滤哪些的内容？过滤的是 a c、 l 两千里面的数据， 这是他的一个应用啊。所以当我们流量如果是从幺九二点幺六八点一点零过来，到达我们的零杠零杠一口之后，我接下来就会去判断你这个接口有没有做 a c l 的 一个配置应用，那我们发现接口是有的，有的话呢就拿数据豹纹去匹配我们对应的 acl 啊，那么幺九二点幺六八点幺点幺，这个数据豹纹它是符合我们第一个规则的， 所以这个流量将会被丢弃掉，而如果你的流量来自于幺九二点幺六八点二点幺这一台主机的话，我先去匹配第一个规则，匹配不上，匹配不上怎么办？去看下一个规则， 那下一个规则其实对数据流量没有做任何的要求，那么这个动作是一个 permit 可以允许通过的这样的一个动作，所以我们在这里面就可以满足我们的需求， 那这里我们要特别注意一下，一个是 s l 的功能，它只负责挑数据啊，最终把它过滤还是放行掉，看你 s l 应用在哪里， 这里面就应用在了包过滤上。那么第二个要注意的地方就是你规则的这个顺序，如果你先配置的是这个 permit sauce any， 而后配置这个的话，那么其实这个规则就没有什么用了，因为你所有的流量都会符合这个规则，然后匹配上，然后允许通过，所以这是我们要特别注意的是我们在配置 acl 的时候，哪条先配，哪条后配，他的这个编号规则是非常重要的， 这是我们在做配置的时候要注意的一个地方，这是基本的 a c l， 那么除了基本的 a c l 之外，我们另外一个比较常用的应用场景呢？是我们高级的 a c l， 那么对于高级 a c l， 首先我们也是一样，我们要先创建这个高级 a c l， 那么 创建高级 a c l 的话呢？它的编号的范围就是从三千开始到三千九百九十九，你只要选择的是这个范围，那么我们使用的就是高级的 a c l， 那么同样对于高级 a c l 来说，我们也可以给它加一个命名名称，比如说这。