网络通信技术应用 课件 2.13 访问控制列表（ACL）技术

访问控制列表（ACL）技术访问控制列表（ACL）技术数据包过滤与访问控制列表(ACL)思科华为标准访问控制列表技术思科华为扩展访问控制列表技术作业十二实验14*实验15访问控制列表（ACL）技术前面学习的技术，主要解决怎样使信息在网络中能够顺利到达目的地。本讲要学习在网络信息到达目的地已经没有问题情况下，如何设置一些规则对流经网络的数据包进行过滤的技术。一、数据包过滤与访问控制列表(ACL)1.数据包过滤概述数据包过滤（packetfiltering）是一种采用软件或硬件技术，对向网络上传输或从网络下载的数据流，进行有选择的控制过程。控制方式是允许或拒绝通过。对数据包进行过滤，可以基于如下因素：该数据包所属的协议（TCP、UDP，或ICMP、IP等协议）；数据包发出的源IP地址、将要接收数据包的目的IP地址；逻辑端口号（服务类型）；时间段；数据包的传输方向（向外传出，还是向内传入）；等等。一、数据包过滤与访问控制列表(ACL)数据包过滤，就是通信过程中对网络中转发的数据包，按照事先约定的规则，允许或禁止其通过。进行包过滤的前提：网络IP规划、设备连接都已做好，网络路由已完全畅通。可以进行数据包过滤的设备：路由器、三层交换机、防火墙等（网络层或以上层的设备）。2.访问控制列表ACL访问控制列表（AccessControlList，ACL）是一种具体的数据包过滤技术——对经过网络设备的数据包，按照一定的规则进行过滤——允许通过|禁止通过。一、数据包过滤与访问控制列表(ACL)访问控制列表ACL的主要功能是对数据包中的源IP、目标IP、协议(ICMP,TCP,UDP,OSPF,IP等)、端口号、访问时间等因素的进行合法性判断，合法的（允许的）则让其通过，不合法的（禁止、拒绝）则丢弃。例如图2-13-1中路由器Router1按照预先设定的规则，对本路由器左、右接口流出的数据包进行过滤，合规的让其通过，不合规的就拒绝其通过（丢弃）。一、数据包过滤与访问控制列表(ACL)3.ACL配置的基本步骤(1)定义ACL规则(2)ACL部署(3)过滤应用其中第(1)(2)步由人工配置，第(3)步由设备自动执行。一、数据包过滤与访问控制列表(ACL)4.ACL的类型（1）标准ACL标准ACL又分为基于编号的标准ACL、基于名称的标准ACL。（2）扩展ACL扩展ACL又分为基于编号的扩展ACL、基于名称的扩展ACL。扩展ACL的编号范围，思科（锐捷）：100~199、华为：3000~3999；扩展ACL的名称，与程序设计中变量命名规则相似。基于编号的标准(扩展)ACL，主要应用于路由器；基于名称的标准(扩展)ACL，只应用于三层交换机。二、思科华为标准访问控制列表技术1.标准ACL概述标准ACL（基本ACL）的主要功能是针对数据报中源IP地址制定访问规则，对某一接口流进/流出数据报的源IP地址进行合法性判断，决定允许还是拒绝该数据报通过。标准ACL工作流程如下。(1)ACL规则定义。针对源IP定义访问控制列表ACL，以数字序号或名称命名，每一个ACL可包含多条规则。(2)ACL部署。将ACL部署到某一接口（入、出）。(3)ACL过滤。通信时，路由器（交换机）按照ACL规则，自动对合法(permit)的数据报，予以通过（转发）；对不合法(deny)的数据报，予以丢弃。二、思科华为标准访问控制列表技术1.标准ACL概述标准ACL分为基于编号的标准ACL和基于名称的标准ACL，编号的标准ACL主要用于路由器；基于名称的标准ACL则用于三层交换机中。标准ACL的编号范围，思科（锐捷）：1~99、华为：2000~2999。基于名称的标准ACL，就是给一个标准ACL取一个名称（只有名称没有编号，或者既有名称又有编号），标准ACL的名称，与程序设计中的变量命名规则相似。二、思科华为标准访问控制列表技术2.思科（锐捷）基于编号的标准访问控制列表（ACL）Cisco（Ruijie）基于编号的标准ACL用于路由器上。(1)定义标准ACL命令格式（全局模式下）

access-list

n{permit|deny}source-IPwild-mask其中：n：标准ACL编号，取值范围:1~99；source-IPwild-mask：源IP(网络/子网地址)和反掩码，确定源IP的范围；

当源IP是一个主机IP时，可用host

source-IP取代；

源IP是任意IP时，用any取代。

access-listn{permit|

deny}……..//定义access-listn的下一条规则同一个access-listn（n相同），可包含多条规则，规则的先后次序按照定义顺序。二、思科华为标准访问控制列表技术(2)ACL部署到接口（接口模式下）标准访问控制列表，一般应用于距目标较近端口将编号型ACL应用到路由器接口命令（接口模式）

ipaccess-group

n{in|out}n：标准ACL编号，范围:1~99；in：过滤从接口流入路由器的数据包；out：过滤从接口流出路由器的数据包。(3)通信时包过滤，自动执行。二、思科华为标准访问控制列表技术例如，对以下网络编写一个基于编号的标准ACL——access-list18，规则与命令如下。二、思科华为标准访问控制列表技术(1)允许/24网络的通信流量通过。命令：

access-list18permit55(2)禁止地址为0的主机的通信流量。命令：

access-list18deny0

或者access-list18denyhost0(3)拒绝来自/24网络的通信流量。命令：

access-list18deny55(4)允许所有的通信流量通过。命令：

access-list18permit

any

将编号18的标准ACL应用于路由器Router1接口fa0/0，对流出方向的数据包过滤。intfa0/0

ipaccess-group18out

二、思科华为标准访问控制列表技术关于标准ACL中规则的顺序。ACL通常是一组具有相同listn编号的规则有序集合，由一系列的ACL语句构成。语句处理顺序为：自上而下，逐条比较，相符则执行，不符则看下一条。

课堂练习：基于编号的标准ACL应用，设计标准ACL规则，使得路由器Router0的fa0/1接口上Server1(IP:)，拒绝来自主机2的数据包，拒绝来自/24网段的数据包，允许其他所有数据包通过。二、思科华为标准访问控制列表技术参考配置命令如下。Router0(全局模式下)配置命令:access-li10deny2access-li10deny55access-li10permitany//其中，2可以换写为

host2interfa0/1//进入接口ipaccess-group10out//在接口的流出方向部署ACL10二、思科华为标准访问控制列表技术2.思科（锐捷）基于名称的标准访问控制列表（ACL）Cisco/Ruijie基于名称的标准ACL的定义与部署，如下所示。(1)Cisco基于名称标准ACL的规则定义：

ipaccess-liststandard

aclname//定义一个标准acl名为aclname{permit

|deny}sourceIPwild-mask|hostsourceIP|any{permit

|deny}sourceIPwild-mask|hostsourceIP|any……(2)在三层交换机的vlan虚接口应用：

intvlan

n

ipaccess-group

aclname{in|out}二、思科华为标准访问控制列表技术譬如，对于图2-13-4所示的交换机网络，VLAN、IP地址等都已配置好，网络畅通。二、思科华为标准访问控制列表技术现在要建立如下ACL规则：(1)拒绝主机访问server1;(2)拒绝网络/24访问server1;(3)拒绝网络/25访问server1;(4)允许所有网络段访问。在Switch1上建立基于名称的标准ACL（全局模式下）ipaccess-liststandardmyacl001denydeny55deny27permitanyexit二、思科华为标准访问控制列表技术将myacl001部署在交换机Switch1虚接口intvlan16的流出方向。intvlan16ipaccess-groupmyacl001out将myacl001部署到Swtich1的vlan16虚接口以后，PC1、PC3、PC5不能访问Server1了，PC2、PC4仍然可以访问Server1了。图2-13-5(a)(b)显示出：myacl001部署前PC3可以访问Server1，myacl001部署以后PC3不能访问Server1了；myacl001部署前、后，PC4都可以访问Server1，图2-13-5(c)。二、思科华为标准访问控制列表技术3.华为基于编号的标准访问控制列表（ACL）Huawei基于编号的标准ACL，可用于路由器也可以用于三层交换机。规则定义与部署如下。(1)Huawei定义标准ACL命令格式（系统视图）

aclnumber

n

rule

a{permit|deny}sourcex.x.x.xw.w.w.w

[time-rangetname]

rule

b……其中：n：标准ACL编号，取值范围:2000~2999;

a、b:正整数1、2、3、4等；x.x.x.xw.w.w.w：源IP地址(网络地址)与反掩码；

当源IP是一个主机IP时，可用x.x.x.x0取代；

源IP是任意IP时，x.x.x.xw.w.w.w用any取代；time-rangetname：时间范围（可选项），tname在此前已定义好的时间常量。二、思科华为标准访问控制列表技术(2)将标准ACL部署到接口

标准访问控制列表，一般应用于距目标较近端口

将编号型ACL应用到路由器（或三层交换机）接口的命令（Huawei接口视图）

traffic-filter

{inbound|outbound}acl

n其中：n：标准ACL编号，范围:2000~2999；inbound：过滤从接口流进路由器的数据报；outbound：过滤从接口流出路由器的数据报。二、思科华为标准访问控制列表技术(3)通信时自动进行包过滤例如，有如下AS网络，已配置好路由，所有主机都能相互通信。如图2-13-6所示。二、思科华为标准访问控制列表技术前提：所有IP设备已能互通。

数据报过滤规则：A.允许网络段/24访问服务器server1；B.允许网络段/24访问服务器server1；C.禁止本接口、该方向上其它网络段访问server1。Huawei命令这样写，在AR1定义ACL2002（系统视图下）：aclnumber2002rule1permitsource55rule2permitsource55rule3denysourceany二、思科华为标准访问控制列表技术在部署ACL2002之前，先检测一下各主机对Server1(6)的访问情况，如图2-13-7所示，PC2、PC1都能正常访问Server1。二、思科华为标准访问控制列表技术然后，在AR1的g0/0/1接口流出方向部署acl2002：intg0/0/1traffic-filteroutboundacl2002就可以了。当有数据报从AR1的g0/0/1接口流出时，自动按照ACL规则过滤。此时，再来检测一下从PC2、PC1访问服务器的情况，如图2-13-8所示。从图2-13-8可以看出，在AR1的g0/0/1接口部署完ACL2002以后，PC1仍然能正常访问Server1，PC2就不能访问Server1了。二、思科华为标准访问控制列表技术(4)time-range定义与调用（系统视图）Huawei标准访问控制列表的每一条规则后都可以加一个时间限定字段。在访问控制列表的具体规则的后面，可加上时间限制选项[time-rangetname]，tname是已定义好的一个时间范围名称（相当于时间常量）。使用时间常量前，须先定义。时间段分为绝对时间段、周期性时间段两种。时间段常量也分为绝对时间常量、周期性时间常量两种。Huawei设备显示当前时间和已定义的时间段命令：Disptime-rangeall二、思科华为标准访问控制列表技术（a）绝对时间段time-range定义time-rangexnamefromhh:mmyyyy/mm/ddtohh:mmyyyy/mm/dd(从)(到)xname：时间段常量名称，自定义hh:mmyyyy/mm/dd：起始、终止时刻(时:分,年/月/日)例如：time-rangetime01from8:102025/5/4to20:302025/5/4time-rangetime02from0:02025/5/5to6:592025/5/10二、思科华为标准访问控制列表技术（b）周期性时间段time-range定义time-rangetnamehh:mmto

hh:mmperiod_daytname：时间段常量名称，自定义hh:mm：起始、终止时:分period_day：周期性日期，可以为daily每天off-day周末（星期六和星期日）working-day工作日（从星期一到星期五）period_day:还可以为：0|sun：星期日(Sunday)1|mon：星期一(Monday)2|tue：星期二(Tuesday)3|wed：星期三(Wednesday)4|thu：星期四(Thursday)5|fri：星期五(Friday)6|sat：星期六(Saturday)二、思科华为标准访问控制列表技术例如：time-rangetime030:0to6:30daily//每天0:0到6:30time-rangetime048:0to17:30working-day//工作日8:0到17:30再譬如：(1)从今天(2025/6/4)16:28到17:15time-rangename05from16:282025/6/4to17:152025/6/4(2)每星期五的8:00到12:00time-rangetime068:00to12:00fri(3)周末18:00到23:59time-rangetime0718:00to23:59off-day二、思科华为标准访问控制列表技术（c）周期性时间段time-range的使用

将已定义的时间常量应于ACL具体规则后面aclnumbernrule

a{permit|deny}sourcex.x.x.xw.w.w.wtime-rangetnametname:时间段常量名称，此前已定义例如：aclnumber2003

rule1denysource55time-rangetime03二、思科华为标准访问控制列表技术4.华为基于名称的标准访问控制列表（ACL）Huawei基于名称的标准ACL，用于三层交换机上。(1)Huawei基于名称的标准ACL规则定义(系统视图)：

aclname

xnamebasic

rule

a{permit|deny}sourcesourceIPwild-mask|hostIP|any[time-rangetname]

ruleb……

说明：hostIP：单个主机的IP二、思科华为标准访问控制列表技术(2)应用于三层交换机的接口(物理接口):traffic-filter

{inbound|outbound}aclname

xname

若将图2-13-6中的路由器AR1换成三层交换机Switch1（接口名保持不变），采用基于名称的ACL定义为：aclnamenam002basic

rule1............

在华为三层交换机Switch1部署基于名称的ACL的命令为：intg0/0/1

traffic-filteroutboundaclnamename002二、思科华为标准访问控制列表技术注意：(1)华为与思科基于名称的ACL，部署接口要求不一样！思科（锐捷）要将基于名称的ACL部署在三层交换机的vlan虚接口下，华为则是将基于名称的ACL直接部署在三层交换机的物理接口下。(2)思科基于编号的ACL只用于路由器，基于名称的ACL只用于三层交换机；华为基于编号的ACL既可用于路由器、也可用与三层交换机，华为基于名称的ACL只用于三层交换机。(3)华为的访问控制列表规则中可分时段进行控制，锐捷的访问控制列表也可以按时间段控制，但PT仿真里的思科路由器和三层交换机都不能设置时间段控制。二、思科华为标准访问控制列表技术5.课堂小实验（1）为保护服务器(/24)，在路由器上设计一个标准ACL，除允许/24网段的数据包访问服务器Server1以外，拒绝其它所有IP访问Server1。并将这个标准ACL部署在Router0的适当接口。三、思科华为扩展访问控制列表技术1.扩展访问控制列表ACL概述与标准访问控制列表主要考虑源IP地址这一个因素不同，扩展访问控制列表考虑的因素较多。扩展访问控制列表考虑的因素有：源IP、目的IP、源端口、目的端口和协议等。扩展访问控制列表的部署位置选择：（1）网络中有具体的保护对象时，ACL距保护端较近的端口部署；（2）网络无具体保护对象却有具体的被控制对象时，ACL距被控制端较近端口部署。部署方向：（1）入栈应用（in/inbound）（2）出栈应用（out/outbound）三、思科华为扩展访问控制列表技术ACL部署完以后，路由器/三层交换机自动对经过的数据进行过滤，ACL的工作流程图如右。三、思科华为扩展访问控制列表技术2.思科（锐捷）基于编号的扩展访问控制列表（ACL）（1）Cisco(Ruijie)基于编号的扩展ACL基本格式access-list

n{permit|deny}protocolsourceIPwild-mask[operandport]destIPwild-mask[operandport][time-rangetname(ruijie)]编号n，取值范范：100~199；协议项protocol，可以是传输层TCP、UDP，网络层IP、ICMP等协议；operand，可选eq(等于),gt(大于),lt(小于),neq(不等于)；port，是应用层协议在传输层对应的端口号(或典型应用名)；sourceIPwild-mask、destIPwild-mask，源IP地址与反掩码、目的IP地址与反掩码，若是一台主机，用hostx.x.x.x或x.x.x.x；三、思科华为扩展访问控制列表技术time-rangetname，在tname规定时间段发挥作用.只Ruijie有这个选项，PacketTracer里Cisco设备无该选项。扩展ACL的因素这么多，我们先来看一条具体的扩展ACL规则命令：access-list103denytcpanyhost6eqwwwtime-rangetname这条规则的功能是：在tname规定的时间内，拒绝一切主机访问目的主机6的www服务（该服务基于TCP协议，端口号80，命令中的www可以更换为80）。（2）关于时间段的定义（Ruijie）时间常量tname这样自定义(Ruijie,全局模式下)：三、思科华为扩展访问控制列表技术time-rangetname具体时间定义为绝对时间段

absolutestart

hh:mmyyyy-mm-ddendhh:mmyyyy-mm-dd具体时间定义为周期性时间段

periodic

daily[weekdays|weekend|Monday|…]hh:mmto

hh:mm周期性时间定义更常用。例如：time-rangetime001

periodicweekdays23:00to6:30

periodicweekend00:00to6:00三、思科华为扩展访问控制列表技术（3）关于源端口号和目的端口号源端口号和目的端口号，分别对应报文发送方和接收方的应用程序。常用应用程序与端口号对应关系如表2.13.1所示（思科锐捷、华为等相同）。三、思科华为扩展访问控制列表技术也可以在建立扩展ACL规则时，用？查询有哪些常用端口号，如图2-13-2所示。三、思科华为扩展访问控制列表技术例如，某个扩展ACL102有如下规则定义。第一条：允许主机8接收来自任何网络的电子邮件报文。access-list102permittcpanyhost8eqsmtp第二条：允许主机2接收来自任何网络的Web访问请求。access-list102permittcpanyhost2eqwww第三条：禁止从网段内的主机，建立与网段内的主机的端口号大于128的UDP连接。access-list102denyudp5555gt128定义规则时，每一条规则的ACL号都为102。部署(接口模式下)：ipaccess-group102in|out。三、思科华为扩展访问控制列表技术（4）思科（锐捷）扩展ACL应用实例由2台思科（锐捷）路由器、2台服务器、3台PC机组成的AS网络系统，如图2-13-3所示。其中，Server1是WWW服务器，Server2是DNS服务器，PC1-PC3代表几个用户网络段。在该AS网络系统里，设置以下数据包过滤规则：(a)禁止/24访问server2的DNS服务;(b)禁止/24ping服务器网络段/24;(c)禁止/24访问server1的www服务；(d)允许其它访问行为。三、思科华为扩展访问控制列表技术先将路由器Router1、Router2的IP地址按图2-13-2的标示配置好，将所有主机的参数（IP地址、子网掩码、默认网关、DNS服务器地址等）也按图配置好。在Server1里找到HTTP，在HTTPServices里的index.html网页编辑一下、加入自己的内容，并启动HTTP服务（WWW服务）。在Server2里启动DNS服务，在DNSServices里为Server1添加(Add)一条A记录，该A记录将域名()解析为Server1的IP地址(6)。如图2-13-4所示。三、思科华为扩展访问控制列表技术设置好2台服务器以后，给Router1、Router2分别配置以下静态路由。Router1静态路由命令：iprouteiprouteiprouteRouter2静态路由命令：iproute配置好静态路由以后，我们来检测一下网络的通信情况。从PC机pingWWW服务器域名的办法，能全面测试IP地址、DNS域名解析。三、思科华为扩展访问控制列表技术分别从PC1、PC2、PC3上运行DOS命令：ping检测结果，分别如图图2-13-5(a)(b)(c)所示。从检测结果可以看到：PC1、PC2、PC3与Server1的通信是畅通的，PC1、PC2、PC3与Server2的通信是畅通的，而且Server2将域名正确地解析为IP地址6。为了检测一下Server1的HTTP服务（WWW网站）是否能正常访问，在PC3的浏览器地址栏输入，再按“Go”按钮，马上出现WWW网站首页index.html的内容，如图2-13-5(d)所示。三、思科华为扩展访问控制列表技术下面来设计扩展ACL规则命令。将这4条规则设计成扩展访问控制列表103。(a)禁止/24访问server2的DNS服务;access-list103denyudp55host30eqdomain(b)禁止/24ping服务器网络段/24;access-list103denyicmp5555(c)禁止/24访问server1的www服务；access-list103denytcp556eqwww(d)允许其它访问行为。access-list103permitipanyany三、思科华为扩展访问控制列表技术在Router1上执行以下命令创建ACL103（全局模式下）：access-list103denyudp55host30eqdomainaccess-list103denyicmp5555access-list103denytcp556eqwwwaccess-list103permitipanyany然后，在Router1的fa0/1接口流入方向部署ACL103：intfa0/1ipaccess-group103in三、思科华为扩展访问控制列表技术部署好ACL103以后，再来测试一下扩展访问控制列表103的效果。先在PC1的浏览器地址栏输入，单击“Go”，等一段时间后，出现“HostNameUnresolved”，就是不认识域名的意思；接着直接在PC1的浏览器地址栏输入6，单击"Go"，马上出现WWW服务器的首页。如图2-13-6(a)(b)所示。这说明，PC1（属于/24网络段）可以访问WWW服务器（Server1）的HTTP服务，但不能访问DNS服务器（Server2）的域名解析（domain）服务。体现了“(a)禁止/24访问server2的DNS服务”和“(d)允许其它访问行为”规则。三、思科华为扩展访问控制列表技术打开PC3（/24网络段的主机）的DOS命令窗口，运行ping，通信正常；再打开PC3的浏览器，在地址栏输入，单击“Go”，过一段时间后出现“RequestTimeout”（超时），也就是从PC3不能访问WWW服务器（HTTP服务）的网页。如图2-13-6(c)(d)所示。体现了“(c)禁止/24访问server1的www服务”和“(d)允许其它访问行为”规则。三、思科华为扩展访问控制列表技术我们再来测试一下PC2（/24网络段的主机）访问Server1、Server2的情况。打开PC2的DOS命令窗口，先运行ping，不通，但是能将域名解析为IP地址6；再运行ping6，也不通。然后，打开PC2的浏览器，在浏览器的地址栏里输入，单击“Go”，可以正常浏览WWW服务器（Server1）首页！如图2-13-7所示。体现了“(b)禁止/24ping服务器网络段/24”和“(d)允许其它访问行为”的规则。这从侧面反映出一个现象：ping不通时，网络不一定真的不通，也许网络信息传输是畅通的，只是ICMP报文不让通过而已。三、思科华为扩展访问控制列表技术3.思科（锐捷）基于名称的扩展访问控制列表（ACL）Cisco(Ruijie)基于名称的扩展ACL定义：ipaccess-listextended

aclname

permit|denyprotocol…………[eq|gt|lt|neqport][time-rangetimename]

permit|deny……部署时，将aclname应用于三层交换机的逻辑接口（vlan虚接口）：ipaccess-group

aclnamein|out在思科（锐捷）系列设备里，只有锐捷路由器（三层交换机）可以配置time-rangetimename参数；PacketTracer里的思科路由器和三层交换机都没有time-rangetimename选项。三、思科华为扩展访问控制列表技术譬如将图2-13-2所示网络里的Router1换成三层交换机Switch1，即可采用基于名称的扩展访问控制列表技术。将上述基于编号的扩展ACL103变成name005，按如下定义与部署即可。ipaccess-listextendedname005//Switch1上定义name005deny……deny……deny……permit……intvlan??//进入Switch1的vlan??虚接口ipaccess-groupname005in运行效果与基于编号的访问控制列表相同。三、思科华为扩展访问控制列表技术4.华为基于编号的扩展访问控制列表（ACL）（1）Huawei基于编号的扩展ACL规则定义基本格式aclnumbern

rule

a{permit|deny}protocolsources.s.s.sw.w.w.w[source-portoperandport]destinationd.d.d.dw.w.w.w[destination-portoperandport][time-rangetname]

rule

b……n：编号取值范围:3000~3999，a、b取正整数:1,2,3,…；protocol：

可以是传输层、网络层协议：TCP、UDP、IP、ICMP、ospf等协议，不能为应用层协议；operand：可选eq(等于),gt(大于),lt(小于),rangep1p2；port：是应用层协议在传输层对应的端口号(或典型应用名，见表2.13.1)；time-rangetname：指定生效的时间段tname（前面已有介绍）。三、思科华为扩展访问控制列表技术（2）Huawei基于编号扩展ACL的部署命令（先进入接口视图，再部署）：

interface

??/?//进入物理接口??/?

traffic-filterinbound|outboundacl

n

（3）Huawei基于编号的扩展ACL的应用实例用2台华为路由器、4台主机（Server1、PC1、Client1和Client2）组建成一个扩展ACL网络测试自治系统。如图2-13-8所示。（eNSP中只有Client有浏览器，Client可测试www功能）三、思科华为扩展访问控制列表技术设定数据报过滤规则如下：(a)定义一个规定的时间段常量(每天零时1分至6时59分);(b)在规定时间内，禁止/24网段ping/24网段；(c)在规定时间内，禁止/24网段访问/24网段内的www服务；(d)允许其它所有ip报文通过。先按图2-13-8所示将所有主机的IP地址等参数都配置好，将2台路由器的６个接口的IP地址也都配置好，并将Server1启动HTTP服务（指定HTTP网站所对应的实际目录）。再在路由器AR1、AR2上都配置好全部的静态路由(略)。三、思科华为扩展访问控制列表技术配置好路由以后，我们来测试一下网络通信情况。分别在Client1和Client2上pingServer1(6)，能正常通信，如图2-13-9(a)(b)所示；三、思科华为扩展访问控制列表技术再分别在Client1和Client2的浏览器里浏览6网站文件，单击“获取”，都能正常下载、打开网站文件（aabbcc.html是HTTP网站对应物理目录下一个网页文件），如图2-13-9(c)(d)所示。三、思科华为扩展访问控制列表技术现在，我们给路由器AR1来定义扩展ACL、设置时间常量，并部署好。定义时间常量time01如下（系统视图下）：time-rangetime0100:01to06:59working-day

//定义(a)规定的时间段扩展ACL3001规则定义如下（系统视图下）：aclnumber3001//进入acl视图

rule1denyicmpsource55destination55time-rangetime01//实现过滤规则(b)rule2denytcpsource55destination55destination-porteqwwwtime-rangetime01//实现过滤规则(c)

rule3permitip//实现过滤规则(d)quit//返回系统视图三、思科华为扩展访问控制列表技术AR1上部署ACL3001：intg0/0/1//进入g0/0/1接口视图traffic-filteroutboundacl3001//部署acl3001,流出方向

在AR1的g0/0/1接口部署ACL3001后，我们再来测试网络通信情况。先用ping命令测试，Client1（0/24）可以ping通AR1直连的主机(0)，Client2（0/24）却不能ping通AR1直连的主机(6)，如图2-13-10(a)(b)所示。三、思科华为扩展访问控制列表技术再用Client浏览器测试，在Client1的浏览器地址栏输入6/aabbcc.html，点击