访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全

-----------来源百度百科

ACL的分类

基本ACL（2000-2999）	根据源地址来进行访问控制
高级ACL（3000-3999）	可以根据源地址、目标地址、源端口号等来进行访问控制

基本ACL的配置

注：我们在不管在配置什么ACL的时候，需先保证全网互通，然后在根据需要来进行设置ACL访问控制

网络结构拓扑图

全网互通配置

AR1路由器的配置

[Huawei]sysname AR1            //修改设备名称为AR1
[AR1]int g0/0/2         //进入路由器和内网相连的端口
[AR1-GigabitEthernet0/0/2]ip address 192.168.1.254 24 ```
 //将这个端口的IP地址设置为内网主机的网关IP地址
[AR1]int g0/0/0       //进入路由器与路由相连的端口
[AR1-GigabitEthernet0/0/0]ip address 10.1.1.1 24
[AR1]ip route-static 192.168.2.0 24 10.1.1.2  //配置静态路由往另一个网段

AR2路由器的配置

[Huawei]sysname AR2     //设备更名
[AR2]int g0/0/1     
[AR2-GigabitEthernet0/0/1]ip address 192.168.2.254 24   //配置IP地址为内部主机的网关IP地址
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip address 10.1.1.2 24   
[AR2]ip route-static 192.168.1.0 24 10.1.1.1   //配置静态路由

连通测试

基本ACL的配置

要求：访问控制在AR2上进行，192.168.1.1的主机不能够和192.168.2.1通信，192.168.1.2可以和192.168.2.1通信

AR2上的配置

[AR2]acl 2001    //创建基本ACL
[AR2-acl-basic-2001]rule deny source 192.168.1.1 0  //设置ACL的规则为拒绝源地为192.168.1.1的主机通过
[AR2]int g0/0/1     //进入路由器和内部主机连接的端口
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001   //将ACL2001应用于这个端口上  
注：source 后面地址的写法
1.网段写法（192.168.1.0  0.0.0.255 ）子网掩码必须这样写才能够识别为192.168.1.0网段，否则就识别为192.0.0.0网段，其他段的写法也是如此
2.单个IP地址的写法（192.168.1.1  0 ）  写一个IP地址，在后面加个0即可

Inbound和outbound的区别：
1.inbound就是数据包进入路由，可以在端口设置拒绝或者允许数据包经过
2.outbound就是数据包已经存在于路由器当中，现在想从路由器中出去，我们可以在端口设置拒绝或者允许数据包从路由器中出去

验证测试
PC1 ping PC3

PC2 ping PC3

高级ACL的配置

要求：（全部访问控制均在AR2上完成）
1.在 AR2 配置Telnet远程登录，在外部真实的win7上不能够远程登录
2.client1 客户端 不能够ping通 server1 ，但是可以访问server的网页

网络结构拓扑图
（基于上面的那个图做了一些修改，基本的IP地址配置以及路由是一样的）

AR2路由器配置Telnet服务器

[AR2]user-interface vty 0 4  //配置有多少个用户可以同时登录到Telnet服务端
[AR2-ui-vty0-4]authentication-mode aaa   //验证方式设置为aaa验证
[AR2]aaa      //进入aaa视图
[AR2-aaa]local-user jiangwang password cipher 123 privilege level 3    //设置登录的用户名以及密码，然后在设置这个用户对设备的操作级别 
Info: Add a new user.
[AR2-aaa]local-user jiangwang service-type telnet    //将这个用户应用于Telnet远程登录

登录验证
在win7 的客户端输入 Telnet+路由器的IP地址 即可进入登录界面

AR2上配置ACL访问控制
要求让win7客户端不能够远程登录AR2路由器

[AR2]acl 3001           //配置高级ACL 
[AR2-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 10.1.1.2 0 destination-port eq telnet 
注：Telnet 是基于tcp的23号端口的，这个代码意思是拒绝192.168.1.10的主机使用远程登录连接到10.1.1.2 
[AR2]int g0/0/0    //进入路由器和路由器相连的端口
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl  3001    //将端口设置为拒绝数据包进入路由器
注：和端口做对比  如等于23 等等
eq   等于
gt   大于
lt   小于
range  两者之间

验证测试

client访问server网页配置

要求：client可以访问到server网页，但是不能够和server建立通信
client 正常情况下连通测试server

配置ACL

[AR2]acl 3002    //配置高级ACL
[AR2-acl-adv-3002]rule deny icmp source 192.168.1.20 0 destination 192.168.2.10 0   //设置ACL拒绝源地址为1.20的icmp包访问2.10
[AR2]int g0/0/1    //进入路由器和内网相连的端口
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 3002  //将端口应用于ACL 3002 

配置server服务器

client访问测试
连通测试失败

访问网页

以上就是 ensp ACL访问控制列表的配置，如有错误，还望指出