怎么查看已经配置了哪些acl

访问控制列表 acl 是一种基于包过滤的访问控制技术，他可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛的应用于 路由器和三层交换技术。借助于访问控制列表，可以有效的控制用户对网络的访问，从而最大程度的保障网络安全。进入系统，试图关闭提示信息， 创建恶联十二时三式命名交换机 s w 二、进入接口一零零一、 接口类型为 track， 允许左右弯通过进入接口一零零二、接口类型为 access， 允许关钥匙通过进入接口 一零零三，接口类型为 xs， 允许拨按二式通过进入接口一零零四、接口类型为 xs， 允许拨按三式通过 进入系统视图命名 swe。 关闭提示信息，创建 win。 十二是三十进入 vans， 配置 ip 地址，进入 van 二十配置 ip 地址 进入分三十配置 ip 地址 进入接口 j 零零一，接口类型为 trunk， 放通所有 wine。 p c 一，平通网关。 p c 一，平通 p c 二和 p c 三、 配置 a c l。 进入高级 s l， 配置编号为三百 deny 是不允许通过的意思。 p c 三，不允许访问 p c e。 网络。 permit 是允许通过的意思，允许访问其他网络 进入接口 g 零零一，意思是把 a c l 三千的配置这条规则放在 g 零零幺这个端口 之下，并在接口上配置。基于 a c l 对豹纹进行过滤。 p c 一，拼通。 p c 二， p c 一拼不通。 p c 三，整理配置。

作为网络工程师呢，我们都知道，不管你是做弱电安防监控或者是桌面用为以及公司企业的网管，我们都必须要去学会呃，网络设备的访问控制列表， icr 的一个详细的一个事情，那么今天我们就详细给大家去介绍一下 标准型的 sr 以及高级的 sr 或者是二层 sr 的具体的使用方法。 好，我们来看一下这张透谱图。呃，一共有三台 pc， 那么有一台交换机，那么我们来说一下，每一台 pc 呢，都已经预设好配置了 ip 地址，那第一台 pc 呢，配的是幺九二点幺六点一点二啊。 第二台批新呢是幺九二减幺六八点二点二啊。第三台批新呢是幺九二点幺六八点三点二，他们的网 弯呢，都分别是点一啊，而且呢在交换机啊，已经做好了三次，原来不了不通啊，现在我们先来测试一下，我们在 pc 一样直接可以轻松其他两个 pc， 说明呢，我们现在呢是已经做到了全网互联互通 啊。二点二，那么现在这个二点二是可以通的。好，那么再来看一下，三点三要三点二，三点二呢，嗯，也是可以通的。 好，那么三点二也是可能推通的，那现在我们需要通过访问控制列表来限制某一台 pc， 比如说 pc 一，那么 不让他去访问 pc 二或者 pcy， 那我们怎么做呢？第一个，我们先来了解一下咱们这个呃标准的访问控制列表。好，现在呢，我们在交换机啊，我们 去创建一条标准的 sirsc 二，叫这里面会有个号，在这个号呢，我们打开可以可以看到，那标准的是两千到二九九九，那高级的是三千到三七九九九，来，那二层的是四千到四千九九九九， 那在这里呢，我们先用标准呢，然后呢再用高级，然后最后咱们二次呢啊，那标准呢？我们就用两千， 建好两千这个号，以后呢，那么在这里我们定义一个 s 二原地址的限制。好，那么我们比如说入了叫体内啊， 拒绝咱们的这个照数幺九二点幺六八减一点二啊，拒绝这个地点啊，这一个访问啊，那我们再敲一个啊，然后呢我们再敲一个入了叫 formatipsos， 爱你就行了，好，爱你。好，那做完以后呢，我们需要在这个交换机就接 pc 这个一号接口呢，我们要进一个进来的流量， 好进入到 g 零杠，零杠一啊，然后呢那叫川飞客啊，菲尔特，然后呢这里会有个方向，就是进入的方向，进去的方向做一个咱们两千的，一个吊用 ac 二两切，一个吊用啊，在前面呢，我们要跟上一个叫 ac 二，然后呢再跟咱们的两切中断。靠啊，现在我们调用完，接下来再测试啊 pc 一，看能不能凭空 pc 二个 pc 三呢？来，先拼一下 pc 二，但那 pcpcpc 二呢？已经是拼不通了。来，那么我们现在再试一下拼一下 pc 三，看能不能拼通呢？ p c 三呢？是三点二，也不差好， p c 三呢，其实也是不能回去的啊，那这是我们这个标准的一个呃， 控制的英法，那接下来我们要再测试下高级呢，那假如我有这样一个需求，就是我只想让他可以拼成 pc 二，但是不能拼成他拼三，那这个怎么做呢？

大家好，我是健康老师，技术王，下面呢我们来讲解配置高级访问控制列表 acr， 禁止特定主机访问服务器的某个端口，配置实验在这里面呢，这台交换机呢，连接的有 pc 二， pc 三，还有一台模拟的一台服务器啊，外包服务器 pc 四。 那么我们首先呢，在这几个主机上呢，我们去配置 ip 啊， pip 地址呢，我们已经配置好了，比如说 pcr 的 ip 地址是幺九二点幺六八十点二，自网野马呢，是二十四位的野马， 当然我们这其他的主机呢，都配置好了啊，那么在这里呢，我们啊允许呢 p c 二的主机呢，能够去访问 p c 四啊，但外版服务器的八零端口。那我现在呢需要禁止 p c 三的主机呢，去访问 p c 四的外外版 服务啊，就是八点端口，那么我们下面呢去看一下如何去配置的。呃，进入交换机修改设备名称 swe， 那么我在这里呢需要去创建一个高级防控制列表三千 啊，因为高级仿控制列表呢，它可以，对啊，我们数据流的啊，原 ip 地址啊，目点 ip 地址啊，原端口啊， 那目的端口，那么以及协议呢，进行精准的控制，那么所以呢，我们在这里呢，需要用高级防控列表创建一条规则 rule 地类，那么协议呢，我们这里呢用的是 t c p 协议啊， 原我禁止的是原 pc 三的 地址啊，那么去访问 p c 四的目的端口，八零端口，所以呢原 ip 地址呢，是幺九零幺六八点 十点三啊，那么我们精准地匹配到这个原地址，好吧，那么所以呢，我们用零呢来进行精准匹配啊，目标地址，目的地址呢是我的 pc 四啊，幺九二点幺六八点十点 四，那也是精准匹配，那么我们匹配到的这个端口啊，就是禁止访问我 p c 四的这个目的端口呢是八零端口， 那么目的端口呢？等于啊，这是端口号啊，目的端口号等于多少呢？等于八零端口。好，这样的话我们就 创建了这个规则啊，创建这个规则，然后呢我们需要在这个交换机的一杠零杠三的接口下呢去应用一下啊， 呃， pocket 啊， float， 然后呢我们三千匹配三千的数据流应用的时候呢，我们在这里呢使用 altbud 啊，因为数据当从三号端口出来的时候呢啊，我对这个数据报文呢进行一个过滤啊， 好，这样的话我们就配置完成，那么当然我们配置好以后呢，我们可以用 pcr 呢，如果你要去拼啊， 我们去试一下啊， p c 二呢？去拼我的 p c 四是幺九二点幺六八点十点四啊，拼呢是使用着 s m p 的协议啊，所以呢它是正常的，那我们看用 p c 三，我们再去，我们也去拼一下啊，去拼一下这个 p c 四， 幺九二点幺六八点点四，那么当然他现在目前是正常的，那么我们下面呢，我们再去把刚才这个 a c r 高级防控列表的三千啊，在这里面的话，我们去追加一个规则啊，我们来用于检测啊，比如说 ruler delay， 我不希望我使用的这个，呃， icmp 啊，这个协议原地址呢是幺九二点幺六八点 十点三啊，那么去匹去访问我的目的主机幺九二点幺六八点十点 四啊，完全匹配，这样的话我们再去看一下，这样的话我们用了第二条规则，禁止幺幺九二幺六八十点三使用 s m p 的协议呢，去访问。幺九二六八十点四， 我们再来拼一下，我们发现这时候呢已经啊不能拼了，不能拼通了啊，好，那么当然我们用 pcr 去拼的话，它是啊，没有问题的。

这个案例来给大家去介绍啊，到如图所示啊，公司为了保证财务数据的安全啊，是财务的服务器是吧？还要禁止研发部访问财务服务器，但总裁办不受影响，然后其他的互联网不能够访问财务服务器，相当于他有三个员，研发部啊，这是一个员，研发部访问不了我的财务服务器，总裁办可以，然后我的 internation 啊，不可以是吧？这个通过 aceo 怎么实现 啊？什么时间？而且也比较简单嘛，就直接写一条 aceoaceo， 里面有三个规则啊，其中才研发允许，他研发拒绝，总裁办允许允许，然后 internet 啊拒绝是吧？我们通过 insp 来给大家去模拟一下啊，模拟一下 具体的一个透读，就如图所示，跟前面的画的这个透读也比较类似啊，这里面标注更详细一点，就是具体的 ip 地址的接口都给你标出来了，而且我们用一台路由器去模拟互联网啊，用一台路由器去模拟互联网，然后他们的这个 ip 地址具体写出来了哈，而且，而且都在都在这个里边把它配出来了，主机 ip 地址我就不一个一个给他去配了，我相信这个东西你应该会配， 是吧，直接在上面手中去写就行了啊，福气也是一样的啊，福气。他的地址是三点一百，然后网关地址是三点二五四啊，三点二五四，然后网关都是指向这台路由器的啊，网关都是指向路由器，路由器跟互联网相连的网段是四个一啊，这个一点一点零，这个网段啊，是这个网段啊，明白。好，我们首先就配一下，配一下这个路由器它几个接口的 ip 地址吧。首先 同意一下，名叫 rock， 然后四个接口樱桃费是记零杠零杠零。 ip orgs 幺九二点幺六八点一点二五四，对吧？这个啊，这个接口他是研发部的网关啊，问，这里面都是二五四啊，我们把它设置成都是二五四，然后二十四的网。对啊，这种你一定要看得懂哈，别这个你就看不懂的话，那那就那就有点扯了哈，像这基础也看得懂。然后接着 interface 退出来哈。 interface 给大家超选记零杠零杠啊，一，其中间这个加，这里面可以加个空格，加个空 额，都一样啊，反正最后他都能够识别到 ipipitz 幺九二点幺六八点二点二五四，也是二十四位的野马。然后还有两个接口， interface g 零杠零杠二啊。 interfaceg 零杠零杠二，然后 ipirpods 一点一点一点二五四，然后二十四位的 我还是把这个给关掉啊。昂度衣服没心是樱桃已对过，但他总弹出削起来啊，比较烦人。樱桃肺是意思一，不是一二串卡，应该叫以一贴去一对列尺四杠零杠零，就上面连服务器的这个接口也是服务器的网关是多少呢？ idss， 幺九二零幺六八零 三点二，这是二五四吗？是吧？二十四位的好。路由器上三个接口配好了，我们接着来配配互联网这边的接口，相当于通过一台路由器去模拟互联网吗？啊？ interface interface in interface g 零 g 零杠零杠零， 这个是四个一二十四位的。哎呀，有没有配错啊？没问题啊，四个一二十四位的，这个配完之后啊，问他一个问题啊， pc 一他能不能拼通互联网能不能 啊？拼一下试一下。拼四个一啊，不行是吧？为什么不行啊？因为你出口这没有路由啊，就是你的，你的这个流量，你拼互联网，你首先能给默认网关，默认网关上他有互联网的路由啊， 不是问网吧上他还真有，是吧？哈？问网上还真有互联网这边的路友。互联网就一零网站吗？啊？一一一一只网站他还是直联路友他是有的啊，他是有的， 但是，但是你这个流量到了我的，到了我的这个叫，这叫叫什么啊？到了我的，呃，互联网这条路由器之后，他有没有一点零，就是一点零这个网段啊？有没有他都会有没有是吧？你处理 ip volvingtop 有没有？他是没有没有研发部的这个网段的啊，所以流量回不去吗？啊？怎么办？ ip 如此一个写一条默认路由啊，默认路由指回去吗？ 输的路由器幺点幺点幺点二五四是吧？啊？写完之后你现在来拼通不通啊？通了是吧？啊？通了，接着你这边拼一下。拼互联网 也是能拼通的，是吧？相当于互联网这边他有灰尘的路由了。路由啊，或者数据转发一定是一个来回的过程，希望大家注意一下。然后 pc 一拼一下财务福气，能不能拼通幺九二点幺六八点三点一百，应该是没有问题的啊，没有问题。然后 pc 二这边拼一下财务福气，拼幺九二点幺六八点三点一百 啊，也没有问题啊。像这种的话，如果你来这地方听的不是那么清楚或者是有疑问你可以暂停一下来自己好好的思考一下啊，因为每个人的基础不一样是吧，有些人觉得这东西挺简单的啊，听医院就过了，或者他还快进，还有还有两倍数钱啊，有些人可能他一倍数钱他就觉得还是有点难是吧。啊，普通人基础不一样啊，我不可能照顾到所有的人，我只能按照大部分人的节奏啊去走明白 ok， 有有疑问的你可以去百度啊或者是到群里面问一下啊，都可以啊都可以。我们发现啊这时候 pc 和 pc 二都能访问互联网了啊，都能够访问财 不服气相当于把网络给整通了吗？然后互联网能不能防财务服下听一下幺九二零幺零八点三点一百啊，也是没有问题的是吧。啊也是没问题的。通了那这时候我们就要写 aceo 喽啊，要做限制是总经办人访问吗或者总裁办的访问其他的都访不了我们就直接来写高级 aco 啊， aceo 三千啊。若规则一般我常用的就若十啊，若二十若三十当你说若一二三行不行也可以，那就看个人的习惯吧 啊一般来讲我们不同的这个规则之间啊他还是要有一定的间隔方便你以后去插入一些规则嘛。是吧，所以坐实第一条规则。然后研发部啊，是迪代的啊，就是迪代 起来 ap 硕士啊硕士幺九二零幺六八点一点零零点零点零点二五五研发部然后 justinacing 是财务部。研发部是一个网站吗对吧。财务部这里面没有提财务部有多少福气，假设财务部就一台主题，就是三点一百这台主题，所以 匹配一台主题，怎么匹配？幺九二点幺六八点三点一百，然后零点零点零点零，或只写一个零也行啊，我们前面讲理论的时候给大家去输过哈，有四个零可以说说，说成一个零。 那第一台规则把研发部流量给拒绝了，记得入了二十 propec， 总裁办是不是允许的啊？ app 元幺九二零幺零八点二点零零点零点零点二五五，然后这是类型，幺九二零幺零八点三点一百，然后零。 第二条规则把总裁办放进第三条，是不是其他的流量，比如说来自互联网的流量，我会把你给拒绝掉。来自互联网的流量是多少？互联网的源知不知道啊？比如说，哎，互联网的源就是就是这个，这个地址在吗？啊，不一定啊，互联网的源其实可能很多，但是这里面我们通知我们去模拟，是吧？ 啊，所以互联网的我们最好写成 any 吧，但你写这个一这个网络也行哈啊，只是只是实际项目当中，互联网里面应该是很多的啊，所以若三十应该是迪赖，迪赖 apa 啊，比其他的任何 ip 应该硕士吧，硕士硕士， any 就任何，然后 thisternation， 是不是我们的财务福气啊？这台幺九二点幺六八点三点一百，然后零，记得在 pce 上啊，去拼一下财务福气。能不能听懂，哎，还能听懂，你说，哎，老师，你这个 这些不是写吗？为什么？为什么还能听懂啊？那原因很简单吗？你写了，你没有应用啊，我们要在接口上去应用 acl 啊，在哪个接口应用啊？可以在这个接口入接口是吧？在入接口，入接口，然后 这里面也是入街口啊，因为你流量都是从这三台，相当于这三台去访问我的 siri 啊，他是圆啊，从他到他啊，肯定这是入，这是出，对吧啊，如果写在入接口上，你也在好几个接口上去写，不要麻烦啊。所以我们直接在出接口上去应用不就得了吗。啊，一条费是一四杠零。杠零怎么写的呢？叫川 fake 啊，川 fake， 川 fake failure 流量过滤啊。流量过滤应该是奥特曼的对吧？就是流量从他出去，他访问，他是不是这么访问的，这是不是出借口啊？是出借口，奥特棒的，然后 acl 三千 推出来看一下。 pc 一还能不能访问我的财务福气啊，能不能，不能是吧。 p 十二，能不能访问我的财务福气啊，可以，对吧？总裁案是放行的啊， inter nature 还能不能防财务服气。访问不了啊，访不了相当于 就实现了我们刚才讲的那个效果了，但是 pc 一你访问互联网是不是影响不受影响是吧。啊？ pc 二访问互联网有没有影响啊？没有影响， 这就是我们刚刚讲的啊，他要求的一个效果啊，已经给实现了啊，通过扩展的 acl 去实现的啊。像这个题能不能通过啊，通过基础的这个 aco 啊去实现啊，扩展 aco， 斯科一般叫扩展 aco 啊，华为的叫高级 suv。 还是一个意思啊，一个意思， 如果是通过基本 ac 的话，就整个匹配员吗？是吧。啊，整个匹配员啊，实验起来是一样的效果啊，大家自己可以敲一下啊自己可以敲一下，这样我就不不该去重复去演示了，反正把这个实验给做会了啊。你基本上去做一些考试出现 acl 的题啊，问题应该是不大的啊。理解， ok， 这是关于 acl 的配置，关注老师不迷路哦。

大家好，昨天我们把所有的交换机，嗯，调了以后，然后监控服务器、数据库服务器和电脑和摄像头，现在已经全部 全部干通了。现在有一个这个问题，在使用场景中， 监控服务器，数据库服务器，他并不是所有的电脑或者所有的摄像头都需要去访问，比如说数据库服务器，呃，监控摄像头网断就不能让他访问，因为访问的话数据肯定会出现安全隐患。 我们这边其实可以这么搞，在核心交换机上做个 icl， 然后控制 不让摄像头去访问数据过的服务器。首先，呃，直接在核心交换机上配就行了， 还是一样 sus 进去以后，然后配置 s m s， 不是 s， 进去以后配置 s l s e m basic。 我们现在做一个年轻， 我们需要的是 电脑能 够到数据库服去， 在这个位置，它的 d e， n， y 和 p r m t， 它的意思是阻止 p r m t 是指的是通过，那我们就直接做成通过， 通过整个网段写他的前前三个的地址就行了，不需要写，写到精确， 因为写到进去以后就只能这台电脑通过。然后其他的其他的同网段的 ip t 直接不能返回这个野马的位置，注意一下，写成反野马， 那再再写一个拒绝的， 拒绝就是拒绝所有，然后 display this 就能够看到第一段写的是允许通过幺七二点幺六点 幺幺零网吧通过。第二句话的意思，禁止所有通过 在华为的交换机，华为的交换机他做 sl， 他是坐在接口下，但是我们这个是华山的，华山的他是写在危难下的。为什么我们要分了很多个危难，分了很多个危难，就是因为这个原因。 先进入微辣， 然后应用 sl 两千， 他的数据是从幺幺零流到接入交换机，然后流到核心交换机，再流到数据库，那他的这个口的就应该是出接口流量出，所以我们就要做到出接口下面， 这样的话我们的电脑去拼 能够增长拼通，然后摄像头我们再去拼，然后就已经不通了，看没看没，已经不通了，超值啊。 我们再把这条命令删了，删了以后看结果 有一句话，这个就是出口，他删除命运就是安度空格，然后命令， 然后我们再用摄像头去拼数据服务器看，已经通了。

大家好，我是华为讲师长城镇，今天讲解访问控制列表。在企业网络当中，设备进行通信的时候，需要去保证数据传输的安全可靠和网络的性能稳定。 访问控制列表 sl， 他可以去定义一系列的不同的规则，去设备根据这些规则去被数据包进行分类，并针对不同的类型的报文进行不同的处理。 他相当于一个筛子，把我们想要的一个信息给他留下来，不想要的信息呢，竟然筛掉。常人可以实现对网络访问的行为的控制，限制网络流量，提高网络性能，防止网络跟进。 学完本课程以后呢，嗯，可以去了解掌握 sl 在前往中的应用，掌握 sl 的工作原理和掌握 sl 的配置。下面 首先看一下 icl 的应用场景， ico， 他可以通过定义规则来允许或者拒绝流量的通过。比如说现在有两个网段，分别是幺九二幺六八点 一点零网段和幺九二幺六八点二点零网段。现在如果我让幺九二幺六八点幺点零网段的一个主机 i 和主机 b， 他只能去访问英太网，他不能去访问服务器。 而对于幺九二幺六八二点零杠二四的一个网段，他的主机是一个主机地，只能去访问服务器，不能 去访问英特尔的话，我可以去利用 icl 去定义规则，比如说在阿 t i 上，我定义他只能通过的是一点零网站。在 g 零杠零杠一级口罩上，我定义他只能通过二点零网站， 这样的话就可以去通过 icl 来实现这样的一个应用场景。第二个呢， icl 他还可以去根据需求来进行定义过滤的条件，以及匹配条 肩后执行的动作，那比如说我们在阿 ti 上去定义他匹配的动作，如果匹配的网段呢，可以去进行加密， 那现在呢，对于主机埃他短幺九二幺六八一点零的网段呢，他是未匹配到的，所以他最终是以普通数据的形式呢去进行转发。对于幺九二幺六八点二点零网段呢，他是匹配上的，所以对于这样的数据我们要加密后去进行传输。下面我们 就来具体看一下 icl 的一个分类， icl 一共分为 icl 一共分为三大类，第一个就是基本的 icl， 基本的 icl 呢，他 的编号范围是两千到两千九百九十九，他可以去使用原 ip 地址来进行去匹配豹纹。 第二个是高级 sl， 高级 sl 他的编号范围是三千到三千九百九十九，他分别可以去通过语言， rv 地址目的 rv 地址云端口号、目的灯号等等来进行匹配包围。 最后一个是二层的 icl， 二层的 icl 他可以去使用原木地麦克的这个地址，以及二层协议的类型啊等等二层的信息来匹配豹纹，他的编号曲折范围是四千到四千九百九十九。 那下面我们来看一下，具体看一下 icl 的一个规则，首先我们去进行创建一个 icl， icl 我们做的是两千， 然后去看一下他的命令， r 五代表他是一个不常威武的，对于这条匹配到的路由，他执行的是抵纳拒绝 匹配的陆游分别是幺九二幺六八点一点零，后面跟的呢并不是野马，也不是反野马，跟的是通，佩服。零点零点零点二五五，他表示呢和我们以前见到的是不一样的，这里面的零代表的是不可变，一代表的是可变，所以 我们前面的是零点零点零，所以说前面对应的幺九二点幺六八点一是不可变的，而最后对应的二五五可变的，所以对这一条我们的匹配到是幺九二点幺六八点一点零到幺九二点幺六八点一幺点二五五的地址是可以去匹 配上的。第二个呢是他不长为十的，他的一个语句呢也是抵纳癌针对的是原幺九二幺六八点二点零王段，他后面也是跟的零点零点零点二五五，所以他匹配上的地址范围是 幺九二点幺六八点二点零到幺九二点幺六八点二点二五五。最后一个呢就是他的一个十五张为十五的语句， 这时候他的状态也是顶囊癌圆，分别是幺七二的幺六点零点零，后面跟的通，佩服是零点零点零点二五五，所以他的范围也是幺七二点幺六点零点零到幺七二幺六点零点零点二五五。 这个时候我们当我们有数据通过 rti 的时候，我就开始进行匹配，比如说幺七二幺六点零点零到二系列网段来进行通过，那 我先进行匹配的是不长为五的一句，他的一句可以看到他的取值范围匹配不上。那， 那我们接下来继续匹配，看一下不长为十的一个匹配，可以看到他的地址也不在范围之内，也匹配不上，那我们接下来去匹配一下不长为十五的， 可以看到我是可以去匹配的上的幺七二的幺六点零点零高二四正好在我们的原地址范围之内，所以是可以匹配到上的。我们采取的操作是抵纳拒绝掉，也就是对于阿奇埃来讲，我是 不会去转发幺七二点幺六点零点零到二十四原地直发过来的。一个豹纹一个 icl 可以有多条简单或者普命的语句组成，每一条语句描述了一条规则。设备收到数据流量后会逐条 匹配 sl 规则，看其是否匹配，如果不匹配则匹配下一条。一旦找到一条匹配的规则，则执行规则中定义的动作，并不再继续与后续规则进行匹配。如果找不到匹配规则，则是被不对豹纹进行处理。 下面来看一下基本的 sl 的配置，现在可以去创建一个 sl， 然后去指定一个他的语句，指定他的 evil 是五， 他的匹配的规则是 dna， 原地址是幺九二点幺六八点一点零零点零点零点二五五，他的地址范围是幺九二点幺六八一点零到幺九二幺六八幺点二五五。然后我们在阿 t i 的记零杠零杠零那个接口的初方向去进行引入，然后通过 p icu 两天的命令，我们可以去看到我们的 icu 的规则，然后通过迪斯科来揣测一颗菲欧特啊 plazri 靠的可以去查看设备上去查看基于 icu 进行豹纹过滤的一些应用消息信息， 来去进行帮助用户了解对豹纹过滤的 sl 进行豹纹过滤的应用信息，那这些信息配置的情况并核对是否正确，而且可以去有助于进行相关的故障判断和排查。 下面看一下高级 sl 的配置，高级 sl 的配置呢，相对来讲他就比较精细一些，那他的一个编号范围是三千到三千九百九十九，我们去进行创建一个 sl 是三千，然后看一下他匹配的一个规则，可以看到他匹配 的规则是用于限制原地指示幺九二点幺六八一点零杠二十四目的 ipd 指示幺七二点幺六点四点一，目的端口号是二十一的所有的 tcp 的保温。 第二条规则是用于限制原地制范围是幺九二点幺六八点二点零放二十四，目的地址是幺七二点幺六点十点二的所有 tcp 的豹纹。第三条规则是由于匹配所有的 ip 豹纹，并对豹纹执行的是允许的动作。 然后我们在接口下去进行出方向去进行应用，下面可以通过命令去验证一下，可以通过以斯普莱 sl 三千可以看到这三条 slsl 呢，它还可以去应用在 note 上， 比如说在我们，呃这个网络下，我们可以去进行确定哪些内网地址是通过哪些特定的外网地址去进行地址转换的， 比如说现在要求幺九二点幺六八点一点零杠二四中的主机，他使用的是地址尺一中的公网地址来进行地址转换。而幺九二点幺六八二点零杠二四中的主机呢，使用的是地址池二中的公网地址来进行地址转换。那我们可以去通过 icl 来进行去配置。 首先呢我们可以用丝网幺九二幺六八一点零杠二十四，使我们使用地址尺二二零点幺幺零点十点八到二二零点幺幺零点十点十五进行地址转换，而丝网呢，他是幺九二幺六八二点零杠二十四，然后将使用地 地址是二零二点幺幺五点六十点一，杠二零二点幺幺五点六十点三十来进行地址转换，然后我们会在接口下去进行应用，将内存以 icl 去进行绑定， 那下面呢，我们通过一个实验来检测一下，现在我们看一下这三团 pc， 这三团 pc 在统一垄断，那我们正常情况下 pc 一 pc 二都可以去访问 pc 三， 那现在我们假设让 pc 二他的网呢是幺九二幺六八点一点二，不能去法人 pc 三，那我们可以通过在交换技巧去做配置。首先我们创建一个 icl， 忘记抄点他的匹配规则， 然后在我们的端口下去进行去使用，在一零杠零杠三级口下去进行去 去使用 sl， 在他的出气口方向我们去绑定 icl， 做完以后我们去检验一下，然后我们在 pc 一上去进行检验一下，我们发现 pc 一他 pcpc 三是可以相通的，那 pc 二本来我们 ppc 三他也是可以相通的， 但是他现在不同，是因为我们在他的接口相机做了一个策略， 当他匹配上幺九二幺六八一点二，即购地址的时候呢，他进行抵拿矮调，所以最终呢 pc 二他是与 pc 三是不相通的。下面我们来 来看一下啊。一个问题来总结一下本节课的内容。首先个 l 高级的 sl， 它可以基于哪些条件来进行策略？可以 基于原木、 ip 原木等口号协议类型以及 ip 流量分类和 tcp 标记值等等，这些参数可以。

那么当我们创建完这个高级 acl， 他的编号是属于三千到三千九百九十九之后呢？我们接下来就可以去设置对应的规则了。 那么对于高级 acl 跟我们基础 acl 之间相比，他们的差别在哪里？就在于对于高级 acl 来说，我们可以设置的规则更细，可以限制的条件更多。那么在这里面对于高级 acl 当中呢，我们是可以去限定选择的协议的， 那基本的 acl 里面，我们只可以操作的对象就只有原 ip 地址，但是在高级当中我们可以设置他的协议，比如说为 ip 协议或者呢为 tcp 协议，当然 udp， icnp 这等等的这些协议都可以。那么首先我们先来看一下，如果我们的 pro 这个协议参数为 ip 的话，我们可以设置的参数包括跟 ip 相关的圆和目的的 ip 地址，以及他 他的在哪个时间段可以生效。那么如果是 a 类的话，那也就认为是所有这个是针对于协议，如果是 ip 的，那么他操作的对象可以控制的对象其实就是我们网络层 ip 相关的参数。 但是他跟基本 acl 不一样的地方就在于我们除了可以控制原 ip 地址之外，我们其实还可以去控制目的 ip 地址， 这是当我们的协议为 ip 协议的时候，那当我们的协议为 tcp 传输层的这个协议的时候，我们可以操控的这个对象呢？除了 ip 地址之外，我们还可以进一步的对传输层的信息来进行一步 进一步的这个控制，那么我们的规则后面会有规则的编码，他的动作是比耐或者拍 mat， 那么我们在这里面选择的协议呢，是 tcp 这个协议，那么我们可以操作的对象，当然跟 ip 地址相关的元和目的地址是可以操控的。除此之外，跟端口号的相关信息我们也可以进行进一步的限制。 那包括我的端口号匹配， eq 呢，是等于这个端口号 gt 呢，是大于某一个端口号的范围， lt 呢是小于某一个端口号的范围。 所以我们在除了限制 ip 地址之外，我们还可以进一步去限制端口号来去决定我的某些应用能不能过。比如说我的电脑可以去访问外， 但是我不允许你去访问八零网页啊，也就是说你不能去浏览网页，其他的你可以去随意访问，那我们就可以通过协议为 tcp 这个协议自钻来去做进一步的控制。 所以这个呢是我们高级 acl， 他跟我们基本 acl 相比不一样的地方。那接下来呢，我们来看一个具体的一个应用案例啊，来对比一下跟基本 acl 之间有什么不一样的地方。 比如说对于我们的这个拓谱，我们有两个部门，一个是研发部门，一个是市场部门，同时他们都通过这个路由器去访问外网。那现在我们的一个需求是什么需求？公司通过路由器之间可以相互访问，也就是说研发部跟市场部之间相互访问，这是我们的第一 一个需求，那么我们要去打通他的路由。那么除此之外，为了方便网络管理，他要求限制两个网段之间的一个互访，防止我们的公司泄密。 这个呢，也就是说在我们的这个路由器上，我们打通了路由之后，他们之间是可以相互去做访问的，研发部跟市场部之间可以相互访问，在我们网络层打通路由的情况之下， 但是现在我们要求禁止两个网段之间的互放，但是我们网络当中可能还会存在其他的网段。 那在这样的一个需求下，我们来看一下在路由器上如何去做设置来满足这样的一个需求。那么首先第一步我们路由器上的一些基本配置要配置完，包括你接口的 ip 地址， 包括你的路由信息等等，在此之上我们才可以额外的去做一些 acl 的配置，去做相对应的一个控制操作。然后呢我们创建了高级的 acl， 高级 acl 的编号呢是三千零一， 那么三千零一里面拒绝 ip， 从幺零点幺点零，那他的反野马是零点零点二五五去访问你的目的地址，幺零点幺点二点零，零点零点二五五。 那么这个规则只是做一个数据的挑选，把我需要去控制的对象给他挑出来，那具体挑出来的这样的一部分数据，我要怎么对他做操作？那 其实看你这个 acl 应用在哪里，而我们的应用呢，是最终会应用在路由器上的啊，那我们这个三千零一 里面限制的是从原幺零点幺点零，其实也就是研发部门去访问市场部门啊，我们限制了这样的一条流，是通过三千零一作为限制， 那除此之外呢，还有一个三千零二，那在三千零二当中呢，他把这个圆跟目的地只做了一个对调，我限制的是从 ip 幺零点幺点二点零去访问幺零点幺点幺点零， 也就是说从市场部门去访问研发部门这一部分的数据流也是我要挑选出来去控制的一个对象，这是我们数据流怎么把它挑出来？ 那么挑出来了之后，我们再来看一下下一步的一个操作。我们说 acl 挑出来的数据，只是说找到了一些我要控制的对象，那具体对他怎么操控？看你最后 acl 的一个应用程 场景。那么我们的这个应用呢，是对于路由器来说，在零杠零杠一口，零杠零杠一口是连接研发部门的这个接口，那么这个接口我们做了一个流量过滤，那 他的方向呢是一个 n 磅的这个方向，因为我们刚刚的三千零一过滤的是从研发到市场部门的流量，那在这个接口上，其实这部分流量就属于 我在这个接口上应用这个方向的流量，那其实就是一个英镑的的一个方向。而对于我们的零杠零杠二口来说，这个接口我同样限制的是 从市场部去访问研发部的回程的这个流量，那么对于这个借口来说，他也是一个英镑的方向，所以最后的 三千零一跟三千零二他各自应用在了两个接口的音棒的方向，这个呢是我们具体的一个 acl 的一个应用场景， 所以我们这一节课的话呢，就通过 acl 来给大家介绍我们在网络陆游能够打通的这个基础之下，如何来保证我的一个网络安全。但是这里面我们再次强调一下，对于 acl 这个控制访问控制列表本身来说，他 他只做一个数据挑选，至于说我挑出来的这个数据，你至于是要把它进行地址转换，或者说流量给他过滤掉，不让他访问，或 者说我应用在 qs 当中给不同的数据豹纹匹配上不同的优先级等等。这些的操作取决于你 acl 应用在哪个场景。 a cl 本身他是没有任何的过滤动作的，我只负责帮你把数据挑出来啊，这是我们第一个要特别注意的， 那么对于 acl 的话，他有很多种分类的方式啊，有基于二层的麦克地址分类，然后呢，有我们基本的 acl， 有高级的 acl， 那不同分类的 acl 的话，他都会有编号啊，他会有不同编号的这个范围， 那我通过不同的这个 acl 去挑选数据的时候呢，会有一定的这个限制条件。我们给大家着重介绍了两种，一个是基本 acl， 一个是高级 acl， 基本 acl 只能够去匹配数据报文的原 ip 地址，但是对于高级 acl 来说，我可以去匹配的信息非常多，而且可以去匹配的协议呢非常多。 那我们这一章节的内容呢，就先介绍到这里。

那我现在呢， p c 一和 p c 二呢，它是能够正常的通信的，但是呢，因为我们有些需要，比如说啊，我 p c 二呢，它这个属于一个敏感的啊主机，我不希望 p c 一的电脑去访问 p c 二啊，目前我的网络是通着的， p c 一和 p c 二之间可以通信，那我怎么办？ 我们可以做流量过滤啊，做流量过滤呢？来啊，阻止啊，禁止 pc 一的主机呢，去访问 pc 二的主机，那我们去看如何去做，对吧？我们打开交换机啊，打开我们的路由器， 在路由器上面呢，我们需要去配置一个访问控制列表，因为我这里呢是主机一，禁止主机一去访问主机二，那么跟其他主机没有关系。那么我们这里呢就会涉及到什么我们原 ip 地址 和目的 ip 地址啊，这两个主机之间的通信。那我这里呢去配置一个高级防控制列表，那高级防控制列表的话，我们去看一下啊，什么是高级防控控制列表？ 比如说两千到两千九百九十九，就说我这后面跟个编号，对吧？ excel 后面编号两千到两千九百九十九呢，它是一个基本的防控制列表，那基本防控控制列表呢？它可以对原 ip 地址啊的主机呢进行控制，那么 三千到三千九百九十九呢，他是高级的防控制列表啊，高级防控制列表呢，他啊就可以控制的啊，这个就比较多了，比如说可以控制原 ip， 控制目的 ip 地址，控制什么原端口号原啊， 可以看目的地址的端口号，也可以控制协议。所以呢，也就说高级房控制列表它控制的更加精准一些啊， 那么四千到四千九百九十九呢，它是一个二层的一个防控列表，那么还有 ipv 六，还有一些其他的，好吧，那我们下面呢去看，我这里呢配置的是三千高级防控制列表，高级防控制列表的话，我们需要去 ruler 啊， rola pre meet， 这是创建一个规则，那协议呢？是 ip 协议啊，啊，网络层啊，我们在这网络层呢去禁止 pc 一，去访问 pc 二， 那原地址是什么呢？原主机地址是 pc 的地址幺九二零幺六八点十点一，然后因为是这台主机，我要完全匹配啊，所以 是零点零点零点零啊，这个呢，这个呢是一个通配复原码，它和我们 ip 地址呢进行，是吧？ 匹配以后呢，也就说我就是表示我这台主机，好吧，然后呢我们去访问的目的地址，目的地址呢？是 pcr 的地址， 对，幺九二点幺六八点二十点二，也是完全匹配零点零点零，这样的话我们就创建了一条规则，这条规则呢就是，哎呦，我们写错了啊，我们哪个地方写错了， 我们把它删除掉啊，我们是禁止，对不对？拒绝是吧？所以呢创建的是 ruler delay， delay 呢是拒绝，拒绝什么呢？ ip 协议原地址幺九二零 六八点十点一，完全匹配，当然我们四个零呢，也可以用一个零啊，一个零来表示，然后目标地址是幺九二点幺六八点二十点二， 也是用一个零来表示，这样的话我们也就说我们创建了一个防控列表，那么就说拒绝，原地址是幺九幺六八十点一，去访问目的地址幺九二幺六八二十点二。 好吧，那么在这里面的话，我们也可以再继续创建一个规则啊， dli ip 原地址是多少呢？就是我 pcr 的地址，幺九二零幺六八点二十点二，完全匹配， 访问我的目标地址啊，幺九二点幺六八点十点一，也是完全匹配，这样的话我们在这条规则里， 在这个防控制列表里面匹配了两条规则，总之呢是禁止 pc 一访问 pc 二，禁止 pc 二访问 pc 一。好，然后我们需要在相应的接口上呢去应用啊，在接口上面去应用这条规则。那么我们想问问大家在哪一个接口上去运用啊？ 在哪个接口上去用？我们需要在我们的第一个子接口或者是第二个子接口，是吧？去使用 police 啊， traffic float 啊， traffic float 在这个接口上不让用 啊，他只能要，哎，可以用，但是我刚才写错了哦， transit 去了，写成 check， 所以呢，我们使用的这个 呃工具呢？是 traffic float 啊， traffic float。 然后呢，在这里面我们可以用英棒的或者是 upbound 的方向，主要就是看我们这数据流出站还是入站 啊？那我可以使用入站，也可以使用出站啊，两种方方方向呢？都可以，然后我们去匹配 a 四二防控制列表的三千， 这样的话我们就完成了，大家去想一想，你看我这是入方向，入方向意味着什么？就说当我 pc 的流量， 对吧？ pc 一的流量，我们进入到这个端口的啊，进入到这个子接口，第一个子接口的时候，那么他就会去检查一下防空，这个发现你要目的地址是防批掉的，他呢就拒绝掉，对吧？这是入方向，那如果我想做 个出方向呢？我在某一个接口上，比如说 g 零杠零杠十的出方向做一个 outbound 方向， 豹纹出去的方向是怎么样的？那么就意味着我 pc 二的流量进来，假如说要从第一个子接口上出去， 他同样会检查 excel 防控制列表，是吧？那么他同样会拒绝。所以你不管在哪一个子接口，比如记一杠零杠零点十，还是记忆零杠零杠零点二十点， 这两个子接口上你都可以什么都可以去应用啊，不管是入站还是出站都行。那我们下面呢，做完以后，我们用 p c r p c 一呢去听一下 p c r， 大家看一下结果痛不痛啊？ 通了啊？不通是吧？ 那我用 pc 二去拼一下我 pc 一看通不通， pc 一是幺九二零幺六八点十点一， 对也是不同的啊，那么这个呢，就是我们给大家讲 excel 与我们啊流量过滤的一个应用。

哈喽，今天来说一下 acl 反问控制列表他有什么用？他的作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发， 目的是对数据流进行管理和控制。比如在一些场合，比如你不想某个 ip 对某个 ip 进行访问，又或者你不想某个 ip 对某个 ip 禁止 htvp 访问，而其他服务可以访问， 这些 acr 都能做的到。 acr 他是由一系列规则组成，这些条件可以是数据的原地址、目的地址和端口号。本章中我以 c 十口路由器为例来介绍 acl 他的命令格式。 c 十口的 acr 分为标准和扩展两种版本。首先我们来看一下标准版，标准版相对于简单， 他只针对原地子进行过滤。举个例子，第一条 ss 干利斯特一，这是 acr 的基本命令。这个一是什么意思呢？刚刚我说了，他有两种版本 编号，从一到九十九是标准版，编号为一百到一百，九十九是拓展版。 后面那个对奈就是镜子的意思，镜子对八十八点这个网段出或者近。因为标准版他只限于针对原地址进行过滤，所以这个八十八点网段的是原 地址，原网段不是目的地网段。这里一定要注意。配置完这条命令之后，然后再进入接口模式，我这里举例说明，暂时定义他为一零杠零，实际操作的时候，你要看清路由器是哪个接口， 进入接口模式之后再把它调用过来激活他。这里有一点需要注意，就是你前面编号为多少的 acl， 在这里你调用多少的编号也要跟他前面是一一对应的，否则的话他是不生效的哈。 你前面选择一，那你调用过来的时候，这里也要选择一。最后面那个 out 就是粗的意思，意思就是说当八十八这个网段的数据到达这个接口的时候， 路由器他是不会让他出去的。好，标准版的 a 四幺介绍到这里已经结束了，明天我们继续介绍他的拓展 a 四幺。

买了电脑之后呢，大家想知道自己的配置是什么样子的？你可以下载一个鲁大师，双击鲁大师，打开 这里有个硬件参数，点进去可以看到自己的电脑，这个台电脑的配置啊，处理一些内存，显卡，这些都写的很详细啊。如果不想下载这种鲁大师这种软件，可以点击此电脑 管理，这里有个设备管理器，还有线显示试配器， 能看到自己的显卡，或者是右击此电脑属性，这里能看到你的处理器和内存等等。