華為3COM設(shè)備中訪(fǎng)問(wèn)控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類(lèi)的ACL。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表，他是通過(guò)使用IP包中的源IP地址進(jìn)行過(guò)濾，使用的訪(fǎng)問(wèn)控制列表號(hào)1到99來(lái)創(chuàng)建相應(yīng)的ACL。

一，標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表的格式：

標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表是最簡(jiǎn)單的ACL。他的具體格式如下：

acl ACL號(hào)

//進(jìn)入ACL設(shè)置界面

rule permit|deny source IP地址 反向子網(wǎng)掩碼

例如：rule deny source 192.168.1.1 0.0.0.0這句命令是將所有來(lái)自192.168.1.1地址的數(shù)據(jù)包丟棄。當(dāng)然我們也可以用網(wǎng)段來(lái)表示，對(duì)某個(gè)網(wǎng)段進(jìn)行過(guò)濾。命令如下：

rule deny source 192.168.1.0 0.0.0.255

//將來(lái)自192.168.1.0/24的所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過(guò)濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是0.0.0.255呢？這是因?yàn)槿A為設(shè)備和CISCO一樣規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼，反向掩碼為0.0.0.255的代表他的子網(wǎng)掩碼為255.255.255.0。

二，配置實(shí)例：

要想使標(biāo)準(zhǔn)ACL生效需要我們配置兩方面的命令：

1，ACL自身的配置，即將詳細(xì)的規(guī)則添加到ACL中。

2，宣告ACL，將設(shè)置好的ACL添加到相應(yīng)的端口中。

網(wǎng)絡(luò)環(huán)境介紹：
我們采用如下圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)，IP地址為172.16.4.13。

　498)this.style.width=498;">

實(shí)例1：禁止172.16.4.0/24網(wǎng)段中除172.16.4.13這臺(tái)計(jì)算機(jī)訪(fǎng)問(wèn)172.16.3.0/24的計(jì)算機(jī)。172.16.4.13可以正常訪(fǎng)問(wèn)172.16.3.0/24。

路由器配置命令：

acl 1

//設(shè)置ACL 1，并進(jìn)入ACL設(shè)置模式

rule deny source any

//設(shè)置ACL，阻止其他一切IP地址進(jìn)行通訊傳輸。

int e1

//進(jìn)入E1端口。

firewall packet-filter 1 inbound

//將ACL 1宣告。

經(jīng)過(guò)設(shè)置后E1端口就只容許來(lái)自172.16.4.13這個(gè)IP地址的數(shù)據(jù)包傳輸出去了。來(lái)自其他IP地址的數(shù)據(jù)包都無(wú)法通過(guò)E1傳輸。

小提示：

由于華為3COM的設(shè)備是默認(rèn)添加了permit ANY的語(yǔ)句在每個(gè)ACL中，所以上面的rule deny source any這句命令可以必須添加的，否則設(shè)置的ACL將無(wú)法生效，所有數(shù)據(jù)包都會(huì)因?yàn)榻Y(jié)尾的permit語(yǔ)句而正常轉(zhuǎn)發(fā)出去。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用firewall packet-filter 1 outbound命令來(lái)宣告，宣告結(jié)果和上面最后兩句命令效果一樣。

實(shí)例2：禁止172.16.4.13這個(gè)計(jì)算機(jī)對(duì)172.16.3.0/24網(wǎng)段的訪(fǎng)問(wèn)，而172.16.4.0/24中的其他計(jì)算機(jī)可以正常訪(fǎng)問(wèn)。

路由器配置命令：

access-list 1

//設(shè)置ACL，進(jìn)入ACL1設(shè)置界面。

rule deny source 172.16.4.13 0.0.0.0

//阻止172.16.4.13這臺(tái)計(jì)算機(jī)訪(fǎng)問(wèn)。

rule permit source any（如下圖）

//設(shè)置ACL，容許其他地址的計(jì)算機(jī)進(jìn)行通訊

int e1

//進(jìn)入E1端口

firewall packet-filter 1 inbound
//將ACL1宣告，同理可以進(jìn)入E0端口后使用firewall packet-filter 1 outbound來(lái)完成宣告。

498)this.style.width=498;">

配置完畢后除了172.16.4.13其他IP地址都可以通過(guò)路由器正常通訊，傳輸數(shù)據(jù)包。需要提醒一點(diǎn)的是默認(rèn)情況下華為設(shè)備在ACL結(jié)尾添加了rule permit source any的語(yǔ)句，所以本例中可以不輸入該語(yǔ)句，效果是一樣的。
總結(jié)：
標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡(jiǎn)單的訪(fǎng)問(wèn)控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級(jí)別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪(fǎng)問(wèn)控制列表了，他可以滿(mǎn)足我們到端口級(jí)的要求。