本文介紹的是華為3COM路由器配置列表ACL常識，下面是一問一答：Q：華為 3COM 標(biāo)準(zhǔn)訪問控制列表(ACL)初識 ，A：華為3COM設(shè)備中訪問控制列表ACL分很多種，不同場合應(yīng)用不同種類的ACL。其中最簡單的就是標(biāo)準(zhǔn)訪問控制列表，他是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應(yīng)的ACL。

標(biāo)準(zhǔn)訪問控制列表的格式：

標(biāo)準(zhǔn)訪問控制列表是最簡單的ACL。華為3COM路由器配置的具體格式如下：
◆acl ACL號
◆//進(jìn)入ACL設(shè)置界面
◆rule permit|deny source IP地址 反向子網(wǎng)掩碼

例如：rule deny source 192.168.1.1 0.0.0.0這句命令是將所有來自192.168.1.1地址的數(shù)據(jù)包丟棄。當(dāng)然我們也可以用網(wǎng)段來表示，對某個(gè)網(wǎng)段進(jìn)行過濾。命令如下：rule deny source 192.168.1.0 0.0.0.255。

//將來自192.168.1.0/24的所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是0.0.0.255呢？這是因?yàn)槿A為設(shè)備和CISCO一樣規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼，反向掩碼為0.0.0.255的代表他的子網(wǎng)掩碼為255.255.255.0。

華為3COM路由器配置實(shí)例：

要想使標(biāo)準(zhǔn)ACL生效需要我們配置兩方面的命令：
◆ACL自身的配置，即將詳細(xì)的規(guī)則添加到ACL中。
◆宣告ACL，將設(shè)置好的ACL添加到相應(yīng)的端口中。

華為3COM路由器配置網(wǎng)絡(luò)環(huán)境介紹：

我們采用如下圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網(wǎng)段中有一臺服務(wù)器提供WWW服務(wù)，IP地址為172.16.4.13。實(shí)例1：禁止172.16.4.0/24網(wǎng)段中除172.16.4.13這臺計(jì)算機(jī)訪問172.16.3.0/24的計(jì)算機(jī)。172.16.4.13可以正常訪問172.16.3.0/24。

華為3COM路由器配置命令：
◆acl 1
◆//設(shè)置ACL 1，并進(jìn)入ACL設(shè)置模式
◆rule deny source any
◆//設(shè)置ACL，阻止其他一切IP地址進(jìn)行通訊傳輸。
◆int e1
◆//進(jìn)入E1端口。
◆firewall packet-filter 1 inbound
◆//將ACL 1宣告。

經(jīng)過設(shè)置后E1端口就只容許來自172.16.4.13這個(gè)IP地址的數(shù)據(jù)包傳輸出去了。來自其他IP地址的數(shù)據(jù)包都無法通過E1傳輸。

小提示：由于華為3COM的設(shè)備是默認(rèn)添加了permit ANY的語句在每個(gè)ACL中，所以上面的rule deny source any這句命令可以必須添加的，否則設(shè)置的ACL將無法生效，所有數(shù)據(jù)包都會因?yàn)榻Y(jié)尾的permit語句而正常轉(zhuǎn)發(fā)出去。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用firewall packet-filter 1 outbound命令來宣告，宣告結(jié)果和上面最后兩句命令效果一樣。實(shí)例2：禁止172.16.4.13這個(gè)計(jì)算機(jī)對172.16.3.0/24網(wǎng)段的訪問，而172.16.4.0/24中的其他計(jì)算機(jī)可以正常訪問。

華為3COM路由器配置命令：
◆acces
◆s-list 1
◆//設(shè)置ACL，進(jìn)入ACL1設(shè)置界面。
◆rule deny source 172.16.4.13 0.0.0.0
◆//阻止172.16.4.13這臺計(jì)算機(jī)訪問。
◆rule permit source any（如下圖2）
◆//設(shè)置ACL，容許其他地址的計(jì)算機(jī)進(jìn)行通訊
◆int e1
◆//進(jìn)入E1端口
◆firewall packet-filter 1 inbound
◆//將ACL1宣告，同理可以進(jìn)入E0端口后使用firewall packet-filter 1 outbound來完成宣告。

華為3COM路由器配置完畢后除了172.16.4.13其他IP地址都可以通過路由器正常通訊，傳輸數(shù)據(jù)包。需要提醒一點(diǎn)的是默認(rèn)情況下華為設(shè)備在ACL結(jié)尾添加了rule permit source any的語句，所以本例中可以不輸入該語句，效果是一樣的。

華為3COM路由器配置

總結(jié)：華為3COM路由器配置的標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪問控制列表了，他可以滿足我們到端口級的要求。