acl允许全部通过怎么写

哈喽，今天我们接着来说 acl 的另外种版本，扩展版，扩展版要比标准版细化的多。前面我说过标准版的 acu 他只针对原地址继续过滤， 而扩张版他除了根据原地址之外，还能根据目的地址端、口号、协议等进行过滤。好，现在我们来看一下他的命令格式， 命令看起来要比标准版的要多哈，要复杂，不过这个没关系，只要理解了他的原理，其实还是很简单的。 我们来看一下阿塞斯干利斯坦，这个是 acr 的基本命令，昨天我说过。 接着后面那个 number 就是编号，从一到九十九是标准版，一百 百到一百九十九是扩展版。至于你想定义他是标准的还是扩展的，就是取决于这个数字。比如你输入一到九十九任意一个数字，那么他就是标准版的。如果你输入一百到一百九十九的任意一个数字，那么他就是扩展版的。 这个很简单，理解好，接着往后面看，空密跟低耐就是允许跟拒绝的意思，意思就是你定义这条访问控制列表究竟是允许通过的还是拒绝通过的，两者只能选其一。 接着看协议，协议什么意思呢？比如我们访问网站的时候用的是 htvp 协议，文件传输是 ftp， 执行拼命令的时候用的是 icmp， 甚至可以指定 tcp 或者是 udb。 原地址，原地址就是发送端的 ip 地址。原地址通配符呢，就是他的纸网页码。 这里我需要重点说明一下，这里的纸网页码配置的时候跟我们在那个计算机上配置的时候完全不一样的。 在我们计算机上配置的指网页吗？举个例子啊，一般都是二五五点二五五点、二五五点零，但是在他这里配置的话，他是反向解析，那就是零点零点零点二五五， 正向解析就是二五五点二五五点二五五点零，这里一定要注意。接着往后面看，括号里面的 gt e q n e q 对应着大于等于小于的意思，他是什么意思呢？比如你在这里定义一个 gt 空格八零， 意思就是你发送端只要大于八厘米以上的端口，都将允许或者拒绝反问。至于拒绝或者允许，取决于你前面那个定义为坡密或者是钉烂。 如果你这里定义为 eq 八零，那么他就只针对于八零这个端口进行过滤，最后面那个 n eq 就是小于的意思，道理都是一样。 接下来就配置墓地地址跟墓地地址的纸网页码，还有端口等信息，配置的方法跟我刚刚说的是一模一样的。现在我们来举个例子，禁止八十八这个网段，对 幺九二点幺六八点一点一这台主机反问八零端口，但是其他是可以反问，怎么做呢？ 首先定义一个扩展 s 幺，刚刚我说了一百到一百九十九就是扩展 s 幺，这里我定义为幺零幺。上面说要禁止八十八这个网段进行反问，所以后面跟着丁耐，然后 tcp 定义他这个协议，紧接着跟着发送端的 ip 地址，也就是这个禁止访问的八十八网段，跟着他的纸网页码。纸网页码一定要这样写， 因为他是反向解析，所以我这里输入为零点零点零点二五五，实际上他的正向解析就是二五五点二五五点二 五点零，紧接着后面有个 houst， 如果你不加这个 host， 他就会对目的地的整个网段进行过滤。如果你加了这个 host， 意思就是指明了当一台主机的 ip 地址， 因为他上面的要求是对某一个 ip 地址进行反问，而不是说对某一个网段进行反问。所以要在前面加一个 post， 然后目的地的 ip 地址纸网页码一 q 八零，因为他指明了不能反问八零端口，一 q 就是等于的意思，等于八零端口 这条命令结束之后，还需再加一条，也是编号跟他一模一样的允许所有数据包。 为什么要加这条命令？我在这里说明一下，因为在他的系统中，他默认隐藏着一条拒绝所有数据包的命令，就是定耐 any any acl 的过滤规则，他是从上往下依次过滤的， 只要满足了其中一条，他要么就转发，要么就丢弃数据包，而不会再依次往下去匹配了。 所以在实际当中，配置的时候一定要注意，不管是配置了多少条 acl， 但最后一定要配置一条允许所有数据包通过的命令， 否则的话，绝大部分都能匹配到最后一条拒绝所有。好了， acr 在这里就已经结束了，再见。

我们今天我们来聊聊 ac 了哈，那在网络打通之后，我们在网络中的通讯默认都是被允许的，因为网络设备之间的互访啊，只需要在网络中的路由器交换机打通通讯之后，是可以直接用互访的，因为我们并没有开始去学习进行一些数据的控制。 那么这时候呢，当我们网络打通之后，往往也会也会有一些需求啊，比如说我们的网络环境当中，需要有一些设备是无法被某一个网状特定的网段去访问的，比如说我们在这个环境中，研发部门无法访问财务部的福气。 那么这时候呢，我们就需要学习一个工具啊，我们叫流量匹配工具或者流量过滤工具，那专门是用于过滤我们所有 ip 流量的，那么这个东西呢，我一般叫 ac， 老爷叫访问控制列表，相当于是我雇一个保安，对吧？那么访问控制列表呢？他是通过去匹配数据的特征哪些呢？原 ip 目的 ip 协议类型啊，因为我们有不同的方式去发生数据包的方式吗？比如说我们用不同的 app 啊，就是用不同的协议，类似啊，感觉是这样子的，然后接下来我们会有啊端口号在传输层当中的一个 tcbdp， 这个就比较深入了。好，那么对于这些匹配的数据呢，我们都可以做一些执行动作， 比如说像上一张必须听我们提到的，我们的数据会有允许和不允许，对吧？所以我们会匹配到不同的数据类型，然后会执行不同的动作。那么一般来说啊，像我们基础是学到的 a 色的应用，就是对数据进行执行盘面以后抵耐，盘面一般就是属于执行转发，而抵耐呢就属于相处，对吧？ 那么实际以上在我们的 acl 应用当中，我们匹配 ip 流量进行直行， dnawte 就是流量转发而不转发是非常简单的一件事情。那么在 nat 中调用，包括说在流量路由策略当中等等一系列去调用的 会匹配其他东西，那这个呢，是相对来说比较难，我们以后再学啊。简单的去讲我们所说的在 traffic fire 中调用一个接口下如何去执行 h。 那首先在了解 acl 的时候呢，我们需要知道一下，每一台设备都可以编很多的 acl， 对 acl 来说首先有一个名字啊，你每一个 acl 相当于是需要去被调用在某一个地方去执行，所以他都需要一个名称，我们叫 acl 的访问控制列表编号， 那么这个编号呢？哎，它是一串数字，当然也可以串英文啊。至于命名规则的话，以后讲个配置再说。那么首先我们在每一个 a 效当中又会存在规则，就是当我们存在一个 a 效的时候，就会存在匹配多个流量， 那么这时候呢，我们会有个 ruler 规则啊， ruler 呢，在一个 s 当中可以存在多条，比如说 ruler 五是吧？啊，这个叫规则编号，这个规则编号呢是用来排序的啊，谁谁先执行 我们哪一个规则先开始去看啊，这叫撸了五对吧？那当然同样的我们也会有撸了十对不对？撸了二十等等，那么一般来说我们间隔大多数推荐在五到十之间，因为你以后想要加规则，还可以加六七八九，是吧？这三个规则还可以插在中间啊，去中间去执行，因为他从小到大执行， 那么每一个规则呢？他都要定一个动作，就是我的数据最终执行数据转发，还是执行数据丢弃，这是最近的一种操作，对吧？我们这边有迪纳，有彭丽两种操作，对吧？而这个呢，就叫做我们说数据的动作，你要执行什么样一个动作， 那么同样的我们也有其他的路了，对吧？那么不管有多少条路了，你每一条路了都会有一个唯一的匹配条件，就是我们需要去匹配你来自哪里，或者说去往哪里。我们这个 acl 两千当中匹配的叫 sauce， 就是圆，一般就是圆 ipd 起我 来自哪里，当一个数据包来自三点三点、三点零的时候，哎，这个叫做匹配，像啊，我们叫这里叫匹配原 ip， 那么啊，这些都属于我们用户自定义的规则，比如说五十、十、二十五啊，对吧？都属于用户自定义， 那么在华为的 a 效当中，你可以定义的规则是非常多的，这才是四十二亿多，但是在最后一个规则里面，华为默认属于 pry me， 一般来说，我们去匹配数据的时候， 我们都会给大家讲，华为默认情况下，在没有手动写的规则里面，咱们就是彭丽啊，所以如冷默认是彭丽的爱你，是吧？在我们的 a 四要去转发的过程当中呢，我们假设一台路由器，对吧？他需要去进行数据转发，比如说我们一个数据， 他呢需要经过这台路由器进行数据的转发发出去，对吧？好，那么这时候呢，哎，对于一个路由器来说，我们就有个执行条件， 因为路由器在进行数据转发的时候，他的接口呢是有劲，比如说在左边这个接口，我们是先收到数据，对吧？我们叫路接口，我们也叫鹰 bount， 所以这个接口呢，我们叫鹰泵方向，那当然在我们的右边这个接口呢，我们就叫奥特蹦方向，但是这里我们不关心， 假如现在我们出现一个数据包，哎，来自一九二零零一点一，这个数据包要发出去，那么假设我们在这个啊设备上呢，调用了一个 acl， 就是这个接口上使用了一个 acel 两千去过滤，那么我写了规则如了一，进行了 permit sauce， 一九二点一六八点一点一点零这个网段的信息，那么这时候呢，第一条规则就被匹配到了，所以我们的一点零的数据包呢，就被转发了，执行的数据的转发，所以我们数据转发到了，哎，右边是吧？通过接口出去了，那么 如果我们这时候来了第二个数据，比如说一九二点一六八点一点二，好，那么最终结果，因为我们匹配撸了一吗？不匹配，我们找到撸了一，这时候是不匹配的，因为撸了一并不具备识别一点一点二的一个信息的一个能力，所以你要去匹配撸了二，也就说这个规则没有匹配到，是吧？ 根据路人二呢，你的数据就转发出去了，那么这时候如果来了一个一九二点一六八点一点三的数据，哎，那你去匹配规则发现，一不能匹配二不能匹配三，哎，可以匹配， 所以三倍匹配三，匹配之后你会发现他是一个叫顶带的动作，所以数据就无法发送到已经发送的数据，所以你的数据就被丢弃了啊，所以这里不存在一九二零零一点三缺少这个人啊。 那么由于我们最后在若斯上写了一个 permetasous 零点零，零点零，哎，这个叫什么？这叫 any， 就所有我允许了所有其他的 数据啊，那么四和五没有被一二三匹配，所以就允许了其他所有的数据包。好，那这就是我们所说的一个基本的 acl 的一个定义，包括执行啊，那么更多的一个知识点呢？其实 acl 它包含了很多不同类型，比如说我们需要有 基本的 acl， 高级 acl 啊，有二层的 acl 啊，有用户最低 acl， 对吧？这些不同的 acl 呢，他会通过不同的方案去标识 啊，也可以居于数字的方式去命名他，或者说我们用字符的方式去命名他，这些都可以啊，这是一些 sl 的一些基本分类啊，那更多的知识呢？这个咱们啊后面的课程会讲，好吧？

大家好，昨天我们把所有的交换机，嗯，调了以后，然后监控服务器、数据库服务器和电脑和摄像头，现在已经全部 全部干通了。现在有一个这个问题，在使用场景中， 监控服务器，数据库服务器，他并不是所有的电脑或者所有的摄像头都需要去访问，比如说数据库服务器，呃，监控摄像头网断就不能让他访问，因为访问的话数据肯定会出现安全隐患。 我们这边其实可以这么搞，在核心交换机上做个 icl， 然后控制 不让摄像头去访问数据过的服务器。首先，呃，直接在核心交换机上配就行了， 还是一样 sus 进去以后，然后配置 s m s， 不是 s， 进去以后配置 s l s e m basic。 我们现在做一个年轻， 我们需要的是 电脑能 够到数据库服去， 在这个位置，它的 d e， n， y 和 p r m t， 它的意思是阻止 p r m t 是指的是通过，那我们就直接做成通过， 通过整个网段写他的前前三个的地址就行了，不需要写，写到精确， 因为写到进去以后就只能这台电脑通过。然后其他的其他的同网段的 ip t 直接不能返回这个野马的位置，注意一下，写成反野马， 那再再写一个拒绝的， 拒绝就是拒绝所有，然后 display this 就能够看到第一段写的是允许通过幺七二点幺六点 幺幺零网吧通过。第二句话的意思，禁止所有通过 在华为的交换机，华为的交换机他做 sl， 他是坐在接口下，但是我们这个是华山的，华山的他是写在危难下的。为什么我们要分了很多个危难，分了很多个危难，就是因为这个原因。 先进入微辣， 然后应用 sl 两千， 他的数据是从幺幺零流到接入交换机，然后流到核心交换机，再流到数据库，那他的这个口的就应该是出接口流量出，所以我们就要做到出接口下面， 这样的话我们的电脑去拼 能够增长拼通，然后摄像头我们再去拼，然后就已经不通了，看没看没，已经不通了，超值啊。 我们再把这条命令删了，删了以后看结果 有一句话，这个就是出口，他删除命运就是安度空格，然后命令， 然后我们再用摄像头去拼数据服务器看，已经通了。

现在我们来通过一分钟时间来快速的了解一下高级访问控列表 aci 的应用。好，那么我们提前做好了三层来互联互通，也就是说我们 pc 一二三，我们三层地址呢，都是可以互通的，比如说我们去拼二十点一 可以去通啊，然后呢，我们平时吧，咱们二三十点一也能通啊，就是我们三台 pc 的之间呢，都是可以去拼通的啊，三十点二也能通。 来，我们再来看一下咱们的二十点二啊，都能拖好呢，我们这块呢，如果你不会配三层，本来互联网可以去翻看我以前的视频啊，那么今天我们要讲什么？咱们高级访问控制列表的应用啊，那么我们接下来我们的需求呢是 pc 一只能访问 pc， 二不能 访问其他的 pc 啊，那么我们怎么来限制呢？我们首先要建立一个高级的 s 二，也就是三千啊，进入到三期以后呢，我们需要什么？我们只需要允许十点二来访问，二十点二， roola 和麦塔叫 apsous， 幺九二点幺六八点十点二。然后呢，我们紧接着零点零点零点零啊，叫他的一个目标主题呢是幺九二点幺六八点二，十点二点二， 然后呢，零点零点零点零，好，那么接下来我们直接呃敲回车就 ok 了。那么最后呢，我们要加上一条拒绝其他的访问啊， ruler 底内 ip ok 就可以了。现在呢，我们只需要在 英特赛季零杠零杠一上，我们创建一个什么咱们的呃呃，应用，就是 acr 的一应用，穿穿出个菲尔特，哎叫呃，咱们进来方向就是英镑的 sr 叫两三千， 咱们刚才创的集，我们就集啊。那么我们建完以后呢？紧接着我们现在来用 pc 再来去拼一下啊。比如说，呃，咱们的一个二十点二，看能不能拼图呢？拼二十点二回车啊，二十二点二呢，现在是可以拼图的，我们再去拼一下三十点二， 三十点二，我们发现啊，三十点二呢是不通的，所以说这就是什么？我们一个高级访问控制列表的一个应用。

哈喽，今天来说一下 acl 反问控制列表他有什么用？他的作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发， 目的是对数据流进行管理和控制。比如在一些场合，比如你不想某个 ip 对某个 ip 进行访问，又或者你不想某个 ip 对某个 ip 禁止 htvp 访问，而其他服务可以访问， 这些 acr 都能做的到。 acr 他是由一系列规则组成，这些条件可以是数据的原地址、目的地址和端口号。本章中我以 c 十口路由器为例来介绍 acl 他的命令格式。 c 十口的 acr 分为标准和扩展两种版本。首先我们来看一下标准版，标准版相对于简单， 他只针对原地子进行过滤。举个例子，第一条 ss 干利斯特一，这是 acr 的基本命令。这个一是什么意思呢？刚刚我说了，他有两种版本 编号，从一到九十九是标准版，编号为一百到一百，九十九是拓展版。 后面那个对奈就是镜子的意思，镜子对八十八点这个网段出或者近。因为标准版他只限于针对原地址进行过滤，所以这个八十八点网段的是原 地址，原网段不是目的地网段。这里一定要注意。配置完这条命令之后，然后再进入接口模式，我这里举例说明，暂时定义他为一零杠零，实际操作的时候，你要看清路由器是哪个接口， 进入接口模式之后再把它调用过来激活他。这里有一点需要注意，就是你前面编号为多少的 acl， 在这里你调用多少的编号也要跟他前面是一一对应的，否则的话他是不生效的哈。 你前面选择一，那你调用过来的时候，这里也要选择一。最后面那个 out 就是粗的意思，意思就是说当八十八这个网段的数据到达这个接口的时候， 路由器他是不会让他出去的。好，标准版的 a 四幺介绍到这里已经结束了，明天我们继续介绍他的拓展 a 四幺。

大家好，我是华为讲师长城镇，今天讲解访问控制列表。在企业网络当中，设备进行通信的时候，需要去保证数据传输的安全可靠和网络的性能稳定。 访问控制列表 sl， 他可以去定义一系列的不同的规则，去设备根据这些规则去被数据包进行分类，并针对不同的类型的报文进行不同的处理。 他相当于一个筛子，把我们想要的一个信息给他留下来，不想要的信息呢，竟然筛掉。常人可以实现对网络访问的行为的控制，限制网络流量，提高网络性能，防止网络跟进。 学完本课程以后呢，嗯，可以去了解掌握 sl 在前往中的应用，掌握 sl 的工作原理和掌握 sl 的配置。下面 首先看一下 icl 的应用场景， ico， 他可以通过定义规则来允许或者拒绝流量的通过。比如说现在有两个网段，分别是幺九二幺六八点 一点零网段和幺九二幺六八点二点零网段。现在如果我让幺九二幺六八点幺点零网段的一个主机 i 和主机 b， 他只能去访问英太网，他不能去访问服务器。 而对于幺九二幺六八二点零杠二四的一个网段，他的主机是一个主机地，只能去访问服务器，不能 去访问英特尔的话，我可以去利用 icl 去定义规则，比如说在阿 t i 上，我定义他只能通过的是一点零网站。在 g 零杠零杠一级口罩上，我定义他只能通过二点零网站， 这样的话就可以去通过 icl 来实现这样的一个应用场景。第二个呢， icl 他还可以去根据需求来进行定义过滤的条件，以及匹配条 肩后执行的动作，那比如说我们在阿 ti 上去定义他匹配的动作，如果匹配的网段呢，可以去进行加密， 那现在呢，对于主机埃他短幺九二幺六八一点零的网段呢，他是未匹配到的，所以他最终是以普通数据的形式呢去进行转发。对于幺九二幺六八点二点零网段呢，他是匹配上的，所以对于这样的数据我们要加密后去进行传输。下面我们 就来具体看一下 icl 的一个分类， icl 一共分为 icl 一共分为三大类，第一个就是基本的 icl， 基本的 icl 呢，他 的编号范围是两千到两千九百九十九，他可以去使用原 ip 地址来进行去匹配豹纹。 第二个是高级 sl， 高级 sl 他的编号范围是三千到三千九百九十九，他分别可以去通过语言， rv 地址目的 rv 地址云端口号、目的灯号等等来进行匹配包围。 最后一个是二层的 icl， 二层的 icl 他可以去使用原木地麦克的这个地址，以及二层协议的类型啊等等二层的信息来匹配豹纹，他的编号曲折范围是四千到四千九百九十九。 那下面我们来看一下，具体看一下 icl 的一个规则，首先我们去进行创建一个 icl， icl 我们做的是两千， 然后去看一下他的命令， r 五代表他是一个不常威武的，对于这条匹配到的路由，他执行的是抵纳拒绝 匹配的陆游分别是幺九二幺六八点一点零，后面跟的呢并不是野马，也不是反野马，跟的是通，佩服。零点零点零点二五五，他表示呢和我们以前见到的是不一样的，这里面的零代表的是不可变，一代表的是可变，所以 我们前面的是零点零点零，所以说前面对应的幺九二点幺六八点一是不可变的，而最后对应的二五五可变的，所以对这一条我们的匹配到是幺九二点幺六八点一点零到幺九二点幺六八点一幺点二五五的地址是可以去匹 配上的。第二个呢是他不长为十的，他的一个语句呢也是抵纳癌针对的是原幺九二幺六八点二点零王段，他后面也是跟的零点零点零点二五五，所以他匹配上的地址范围是 幺九二点幺六八点二点零到幺九二点幺六八点二点二五五。最后一个呢就是他的一个十五张为十五的语句， 这时候他的状态也是顶囊癌圆，分别是幺七二的幺六点零点零，后面跟的通，佩服是零点零点零点二五五，所以他的范围也是幺七二点幺六点零点零到幺七二幺六点零点零点二五五。 这个时候我们当我们有数据通过 rti 的时候，我就开始进行匹配，比如说幺七二幺六点零点零到二系列网段来进行通过，那 我先进行匹配的是不长为五的一句，他的一句可以看到他的取值范围匹配不上。那， 那我们接下来继续匹配，看一下不长为十的一个匹配，可以看到他的地址也不在范围之内，也匹配不上，那我们接下来去匹配一下不长为十五的， 可以看到我是可以去匹配的上的幺七二的幺六点零点零高二四正好在我们的原地址范围之内，所以是可以匹配到上的。我们采取的操作是抵纳拒绝掉，也就是对于阿奇埃来讲，我是 不会去转发幺七二点幺六点零点零到二十四原地直发过来的。一个豹纹一个 icl 可以有多条简单或者普命的语句组成，每一条语句描述了一条规则。设备收到数据流量后会逐条 匹配 sl 规则，看其是否匹配，如果不匹配则匹配下一条。一旦找到一条匹配的规则，则执行规则中定义的动作，并不再继续与后续规则进行匹配。如果找不到匹配规则，则是被不对豹纹进行处理。 下面来看一下基本的 sl 的配置，现在可以去创建一个 sl， 然后去指定一个他的语句，指定他的 evil 是五， 他的匹配的规则是 dna， 原地址是幺九二点幺六八点一点零零点零点零点二五五，他的地址范围是幺九二点幺六八一点零到幺九二幺六八幺点二五五。然后我们在阿 t i 的记零杠零杠零那个接口的初方向去进行引入，然后通过 p icu 两天的命令，我们可以去看到我们的 icu 的规则，然后通过迪斯科来揣测一颗菲欧特啊 plazri 靠的可以去查看设备上去查看基于 icu 进行豹纹过滤的一些应用消息信息， 来去进行帮助用户了解对豹纹过滤的 sl 进行豹纹过滤的应用信息，那这些信息配置的情况并核对是否正确，而且可以去有助于进行相关的故障判断和排查。 下面看一下高级 sl 的配置，高级 sl 的配置呢，相对来讲他就比较精细一些，那他的一个编号范围是三千到三千九百九十九，我们去进行创建一个 sl 是三千，然后看一下他匹配的一个规则，可以看到他匹配 的规则是用于限制原地指示幺九二点幺六八一点零杠二十四目的 ipd 指示幺七二点幺六点四点一，目的端口号是二十一的所有的 tcp 的保温。 第二条规则是用于限制原地制范围是幺九二点幺六八点二点零放二十四，目的地址是幺七二点幺六点十点二的所有 tcp 的豹纹。第三条规则是由于匹配所有的 ip 豹纹，并对豹纹执行的是允许的动作。 然后我们在接口下去进行出方向去进行应用，下面可以通过命令去验证一下，可以通过以斯普莱 sl 三千可以看到这三条 slsl 呢，它还可以去应用在 note 上， 比如说在我们，呃这个网络下，我们可以去进行确定哪些内网地址是通过哪些特定的外网地址去进行地址转换的， 比如说现在要求幺九二点幺六八点一点零杠二四中的主机，他使用的是地址尺一中的公网地址来进行地址转换。而幺九二点幺六八二点零杠二四中的主机呢，使用的是地址池二中的公网地址来进行地址转换。那我们可以去通过 icl 来进行去配置。 首先呢我们可以用丝网幺九二幺六八一点零杠二十四，使我们使用地址尺二二零点幺幺零点十点八到二二零点幺幺零点十点十五进行地址转换，而丝网呢，他是幺九二幺六八二点零杠二十四，然后将使用地 地址是二零二点幺幺五点六十点一，杠二零二点幺幺五点六十点三十来进行地址转换，然后我们会在接口下去进行应用，将内存以 icl 去进行绑定， 那下面呢，我们通过一个实验来检测一下，现在我们看一下这三团 pc， 这三团 pc 在统一垄断，那我们正常情况下 pc 一 pc 二都可以去访问 pc 三， 那现在我们假设让 pc 二他的网呢是幺九二幺六八点一点二，不能去法人 pc 三，那我们可以通过在交换技巧去做配置。首先我们创建一个 icl， 忘记抄点他的匹配规则， 然后在我们的端口下去进行去使用，在一零杠零杠三级口下去进行去 去使用 sl， 在他的出气口方向我们去绑定 icl， 做完以后我们去检验一下，然后我们在 pc 一上去进行检验一下，我们发现 pc 一他 pcpc 三是可以相通的，那 pc 二本来我们 ppc 三他也是可以相通的， 但是他现在不同，是因为我们在他的接口相机做了一个策略， 当他匹配上幺九二幺六八一点二，即购地址的时候呢，他进行抵拿矮调，所以最终呢 pc 二他是与 pc 三是不相通的。下面我们来 来看一下啊。一个问题来总结一下本节课的内容。首先个 l 高级的 sl， 它可以基于哪些条件来进行策略？可以 基于原木、 ip 原木等口号协议类型以及 ip 流量分类和 tcp 标记值等等，这些参数可以。

大家好，我是监测网络技术，在我们企业内部呢，部门连接通过不同的尾烂介入到我们接入层交换机，接入层交换机呢，连接到核心交换机，在核心交换机上面呢，我们来创建了 f 未来 f 接口地址作为我们相应尾烂的网关，这样的话就可以通过 三层交换机啊核心交换机实现不同尾乱之间的一个互通。那么现在我们来看一下夜幕部 pc 一和 pc 二之间呢，它是通过啊三层交换机进行一个转发实现了互通，我们来拼一下啊，那么 pc 一拼 pc 二 啊，是通着的啊，是通着的，但是呢，现在呢，因为我们这个财务部门呢，是企业内部的一个敏感部门，所以呢，我不允许业务部和财务部之间的一个互通，那么我们如何去做呢？ 我们可以通过访问控制列表包括率，那么禁止危难一时和危难二时之间的主机的一个互通方法如下，先进入核心交换机，我们先来创建一个访问控制列表， 那么在这里我们创建的是高级防控制列表创建规则， ruler dlip 圆圆地址是什么呢？就是我们 pc 一这个网段地址， 那么就是幺九二点幺六八点四点零， 到目的地值是幺九二点幺六八点幺九二点幺六幺六八点二十点零点零点零点二五。 然后我们再创建一个规则的力量，原地值是幺九二点幺六八点二十点零零点零点零点二五五 啊， destination 到幺九二点幺六八点十点零点零点零点零点二五五。 任何我们就创建了两条规则，就是禁止啊未来十的主机访问未来二十的主机，那么禁止未来二十的主机来访问十未来十的主机啊。然后呢我们在这个创建完规则以后呢，我们进入到 端口聚合啊，这个端口聚合因为是我们在接入层交换机和核心层交换机之间呢，使用了一个链路锯壳，那么这个链路锯壳的端口呢，是来自创可机，然后呢我们在这里直行把 floats 包过滤啊，方向呢是荧棒的方向，就是数据流时，我们接入层交换机到核心交换机这个方向， 然后呢我们来把这个三千应用到这个爆物率。好，那么做了这个操作以后呢，我们 pc 一和 pc 二之间呢，他就不能互通，我们来检验一下，凭 pc 二的主机二十点二五三， 我们发现那么这两个网段之间已经不能互互通了，你学会了吗？学习更多网络知识，关注老师。

大家好，今天我们给大家介绍一下访问控制列表 acl 的原理以及配置啊。首先的话，我们先简单了解一下啊， acl 呢，它是一种呢基于数据包的一个过滤技术啊，我们很多的防火墙呢，都是基于 acl 这个来实现的， 他是可以针对这个呃 s 幺列表来对这个数据包进行一个识别啊，然后呢，如果说命中了呢，他就允许通过，如果说没有命中呢，他就把这个数据包呢给丢弃掉啊， 那么 acu 它主要使用于啊以下三种场景啊，一种的话就是包过率，比如说我们的防火墙啊， acl 防控制列表啊，针对这个数据呢进行一个分类，然后做一个啊放通或者是阻断。那么第二种呢啊，他也用， 比如说策略路由啊，根据 acl 的这个条目来进行一个路由的一个啊选择。第三种呢，他也做一个 qos 的一个啊，转发优先级啊，也就是我们的流空限速啊 啊，那么我们来简单对比一下啊，我们这里说的 acl 呢，它主要是分为啊，标准 acl 和扩展 acl 两大类啊， 他们的区别主要是呢啊，第一个啊，标准 acl 他的编号规则啊，是一到九十九以及一千三百到一千三百九十九之间，而扩展 acl 呢，他是一百到一百零九啊，一百一十一到一百九十六以及两千到两千六百九十九之间啊，那么我们是 这下呢，他们都有一个共同点啊，他们这个编号呢，除了用数字还还可以用这个中文或者是英文来命名，我们可以来看一下 啊，比如说这里的标准也是要啊，这边可以用选择这个范围的这个数字啊，或者我们也可以用中文或者是英文，比如说我们用十 啊，那我们再看一下破产的 acl 呢啊，他的数字范围啊，是这三个区间段啊，他同样也可以用中文、英英文或者是数字啊，那比如我们用一百 啊，这个是编号的一个区别啊，那么第二个区别呢啊， 标准 acl 呢，他主要是针对原 ip 啊，原地址啊，去进行一个识别的。而扩展 acl 呢，他主要针对啊这五项啊， 有原 ip 地址啊，目的 ip 地址啊，协议原端口，目的端口啊，这五项都可以去进行一个识别啊， 我们来看一下设备上的啊，比如我这个标准也是要，那我们这边来添加 ace 规则啊，他是只有一个圆啊，可以选择圆 ip 啊， 只有一个框可以选择，那么我们的扩展 sl 呢啊，他就比较多了啊，他可以这里可以选择啊，协议类型啊， ip 啊，这个 tcp 啊， udp 啊啊这些，那 这里呢还有原 ip 地址啊，原端口啊，目的端口啊，目的 ip 啊，这总共是五项可以进行选择 啊。介绍完两种 acl 类型之后呢，我们再来具体看一下 acl 的一个规则啊， acl 呢，他是由 ace 啊来组成的， 每一个 acl 列表呢，他都有两种类型啊，一个是 pamit， 一个是 dna 啊， 也就是允许或者是禁止。那么每一那么每一个 aco 列表的最后一条规则呢，他都是拒绝所有啊， 那么 aco 的匹配规则呢，他是先添加 家的啊，排在第一条，后添加的排在后面，而匹配的顺序呢，他是从上往下去匹配的啊，所以我们一般配置 ace 规则的时候要注意啊，要优先匹配的呢，我们让他排在上面， 我们继续来设备这边看一下啊，比如说 acl 十啊，我们添加他的这个 ace 规则，比如说是禁止啊， 禁止这单个 ip 啊，时间的话，我们可以这边去选择啊，比如说有时间， 那么如果我们再添加一条 啊，比如说 我们发现我们后面添加了呢，他就是排在后面的，但是他的匹配顺序呢，他是从上啊，先匹配十点一百啊，再匹配十点两百啊， 同样的扩展 ac 呢，他也是一样的。那我们来具体给大家介绍一下两种常见的这个场景啊，一个是 acf 防控制列表，一个是车源路由 啊，首先我们看第一种啊，在某个场景下呢，我们想要实现路由器内网的两个网段，十和二十两个网段啊，禁止他们互访啊，那么这个通过 acl 网红列表去实现，首先的话，我们添加啊 acl 列表啊，那么要禁止圆和目的两这两个网络呢，所以我们需要用到扩展的 acl 啊， 添加 a c， 要之后呢，我们这边添加 a c e 规则，那么因为是需要禁止的，所以我们这边访问控制呢，就是禁止，那么原 ip 是十万段，目标 ip 呢是二十万段啊， 这里呢需要注意点，我们前面说了默认呢，最后一条是禁止所有的，所以呢我们还要确保十碗端和二十碗端能正常上网的话呢， 我们添加完镜子之后，我们最后一定要记得添加，允许所有的所有，这样子呢，这个十万段以及二十万段，他才能够正常出去上网啊，啊，添 加完之后就是这样一个效果啊，先静止十和二十，然后呢再允许其他所有啊， 如果说最后一条没有添加的话，到时候这个时网段呢，他也不能够出去上网，因为默认是禁止所有的，那么添加完之后这个还没有生效啊，我们还需要到这个接口下面去调用啊， 接口返还控制啊，这边去列表呢选择，我们刚刚创建了一百，那么接口呢，选择这个十网段的这个对应的啊接口啊，我们是距离杠一那么方向呢， 对于我们距零杠一来说，使网端的数据发给这个距零杠一，那么距零杠一他是收的啊，也就是说收豹纹，接收豹纹的方向啊，那么我们具体来设备这边呢操作看一下 添加镜子啊，单 ip， 单个 ip， 我们选单 ip 地址，如果是整个网段呢，我们选择野马设置， 对， 一定要记得第二条要添加允许所有到所有 啊，那么我们原 ip 十万段呢，他是接在烂一口下面的啊，烂一口下面是十万段，他是距零杠一，所以我们这边呢接口访问控制啊，就是 在这个距离杠一这个接口下面去调用啊，意思要列表就是我们刚添加了一百，那么应用接口呢，就是原网段十网段的这个接口啊，距离杠一， 那么我们死网断发给这个居林刚一的数据呢，对于居林刚一来说，他是接收的一个方向，所以这边选择收豹纹，那么这边完成配置 好这样子呢，我们这个啊可以点进去看一下啊， 这个十网段的二十网段呢，他们就不能够互访了啊，而允许了任意到任意呢，我们十网段还能出去上网，如果没有这一这一条呢，那么十网段啊，也是禁止所有的，所以就上不了网了，这个大家要注意一下。 第二个场景呢，我们看一下啊，车内漏油啊，比如说我们外网呢，有很多条外网线路， 但是内网这个时网段呢，我就只想让他去走望林去上网啊，走其中的一条外网线去上网。那么我们看一下配置，我们直接来设备这边看一下。 好，我们这个先删除掉 啊，我们再添加一个 sl 啊，扩展的 添加规则 啊，因为是死网的就上外网的，所以目标呢就是任意啊，规则呢就是允许， 然后我们去调用这个陆油 啊，因为我们这个十网段呢，他是距零杠一烂一口，也就是距零杠一口，那我们这边匹配接口呢，就是他的这个内网口距零杠一优先级呢，他的数字是越小越优先啊，那比如说我们配个十，因为只有一条，所以我这个就是最优先的。 规则呢，就是我们刚刚创建的幺幺幺接口呢，我们外网是固定 ip， 那我们这边填吓一跳啊，我们官方的外网网关地址呢，我们是幺九二点幺六 八点二点一啊，这个是外网网关啊啊，我们这个时网段呢，他就会从这个外网二点一出去上网，我们看一下 领口呢，我们是二万段的，光猫是二点一，所以我们这边的吓一跳呢，我们就是填二点一， 好，这样子配置就好了啊，那么今天呢，我们就给大家讲到这里啊，感谢大家的收看。

华为 a c l 默认的规则是什么？配置完 a c l 后，必须在具体的业务模块中应用 se l， 才能使 acl 正常下发和生效。那么华为 acl 默认的规则是什么呢？一、留策略中的 acl 默认动作是 promate。 在留策略中应用 acl 时，如果 acl 中存在规则，但豹纹未匹配上，该豹纹仍可以正常通过。二、 tenant 中的 a c l 默认动作设定 i。 在 tenant 中应用 a c l 时，如果遇到此种情况，该报文会被拒绝通过。三、黑名单模块中的 a c l 处理机制与其他模块有所不同。在黑名单中应用 a c l 时，无论 cl 规则配置成宽妹子还是 dna， 只要豹纹命中了规则，该豹纹都会被系统丢弃。关注我吧！