高级ACL配置

案例背景与要求：

某公司网络含外来人员办公区、项目部办工区和财务部办公区。在外来人员办公区中，有一台专供外来人员使用的计算机PC2，IP地址为192.168.2.1/24。出于网络安全考虑，需禁止财务部办公区接收PC2发送的IP报文A。为满足此需求，可在路由器R1上配置基本ACL。基本ACL可根据源IP地址信息识别PC2发送的IP报文A，在GE0/0/0接口的出方向（Outbound方向）上拒绝放行IP报文A。

实验步骤

1. 配置路由器R1。给3个端口都配置各自的IP地址

2. 配置ACL。使用报文过滤技术中traffic-filter命令配置ACL 2000 ， 3000

3. 完成6.1 和6.2 的规则配置。

实验命令集合

本次实验的新命令

 1 [R1]acl 3000  //创建一个编号为3000的基本ACL
 2 // 在ACL 3000 下 添加新规则
 4 [R1-acl-adv-3000]rule deny ip destination 192.168.2.1 0.0.0.0
 6  [R1-acl-adv-3000]quit
 7  
 8 //进入接口，应用规则
 9 [R1]interface g0/0/3
10 [R1-GigabitEthernet0/0/3]traffic-filter inbound acl 3000
11 //使用报文过滤技术中traffic-filter命令将ACL 3000应用在路由器R1的GE0/0/3接口入方向

其他命令

1 system-view //进入到系统视图
2 undo info-center enable //关闭设备输出信息
3 sysname //修改设备名
4 interface g0/0/0 //进入到接口 g0/0/0
5 - ip address 192.168.12.1 24 //配置 IP 地址和子网掩码
6 - display this // 查看当前IP地址是否配置成功
7 - undo shutdown //打开接口
8 - quit //退出
9 display ip interface brief //査看接口的ip地址摘要信息

小知识点

1 rule deny source 192.168.2.1 0.0.0.0
2 
3 192.168.2.1  //是IP地址
4 0.0.0.0 // 是通配符/反掩码
5 通配符格式和IPv4 地址一样， 32位bit
6 00000000.00000000.00000000.00000000
7 通配符0表示匹配对应的IP地址
8 通配符1表示不需要匹配对应的IP地址，可以任意any