路由和交换技术（第四版）课件 项目10 使用ACL（访问控制列表）提升网络安全性

路由和交换技术（第四版）目

录项目10使用ACL（访问控制列表）提升网络安全性任务1ACL的应用场景任务2ACL的配置项目10使用ACL（访问控制列表）提升网络安全性知识目标了解ACL协议的基本概念，掌握ACL协议的常用参数作用；了解ACL协议的命令格式，掌握创建ACL的方法；了解ACL协议的包过滤原则，掌握ACL协议包过滤的工作原理。能力目标能实现标准ACL的配置；能实现高级ACL的配置；能在端口实现ACL的包过滤配置。素质目标具有国家安全意识；具有科学严谨的工作作风。项目10使用ACL（访问控制列表）提升网络安全性10.1.1ACL的概念10.1.2基于ACL的包过滤

ACL的应用场景任务

110.1.3ACL命令格式10.1.1ACL的概念任务1ACL的应用场景

ACL（AccessControlList，访问控制列表）是一系列用于识别报文流的规则的集合。规则是描述报文匹配条件的判断语句，匹配条件包括报文的源地址、目的地址、端口号等。设备依据ACL规则识别出特定的报文，并根据预先设定的策略对其进行处理，最常见的应用就是使用ACL进行报文过滤，通过允许（permit）或拒绝（deny）这两个动作，判断相关报文能否通过路由器或交换机等设备指定的端口。10.1.1ACL的概念任务1ACL的应用场景1）访问控制通过ACL和数据包过滤结合使用，限制特定源或目标的网络访问。2）路由控制与路由策略结合，ACL可以用于决定数据包的路由路径。3）流量控制结合QoS策略，ACL可以帮助管理流量的优先级和带宽分配。1.ACL功能10.1.1ACL的概念任务1ACL的应用场景

ACL可以通过编号和名称来标识ACL，用编号标识的ACL表示是数字型ACL，用名称表示的ACL表标命名型ACL。命名型ACL实际上是“名字+数字”的形式，可以在定义命名型ACL时同时指定ACL编号。如果不指定编号，则由系统自动分配。不管是数字型ACL还是命名型ACL，都包含相应的rule(规则)，匹配相应的管理策略，如图10-1所示。2.ACL编号和名称10.1.1ACL的概念任务1ACL的应用场景ACL中的每条rule(规则)都有自己的规则编号，这个规则编号在该ACL中是唯一的。在创建规则时，可以手工为其指定一个规则编号；如未手工指定编号，则由系统为其自动分配一个规则编号。由于规则编号可能影响规则匹配的顺序，因此当由系统自动分配规则编号时，为了方便后续在已有规则之前插入新的规则，系统通常会在相邻编号之间留下一定的空间间隔，这个空间间隔的大小（即相邻编号之间的差值）就称为ACL的步长。譬如，当步长为5时，系统会将编号0、5、10、15……依次分配给新创建的规则。3.ACL步长10.1.1ACL的概念任务1ACL的应用场景系统为规则自动分配编号的方式如下：系统从规则的起始值开始，自动分配一个大于现有最大规则编号的步长最小倍数的编号。例如原有规则编号为0、5、9、10和12的五条规则，步长为5，此时如果再创建一条新的规则且不指定编号，那么系统将自动为新建的规则分配规则编号为15。如果步长或规则编号的起始值发生了改变，ACL内原有全部规则的编号都将自动从规则编号的起始值开始按步长重新排列。例如，某ACL内原有规则编号为0、5、9、10和15的五条规则，当修改步长为2之后，这些规则编号将依次变为0、2、4、6和8。3.ACL步长10.1.1ACL的概念任务1ACL的应用场景

根据ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL和用户ACL、基本ACL6、高级ACL6这几种类型，每类ACL编号的取值范围不同。关于每类ACL的编号和作用见表10-1。4.ACL分类10.1.1ACL的概念任务1ACL的应用场景

ACL定义了极其丰富的匹配项，包括源地址、二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。只有匹配到相应的条件才执行相应的动作。5.ACL匹配项10.1.1ACL的概念任务1ACL的应用场景

ACL的规划匹配（match-order）顺序直接影响报文的匹配结果，华为的设备支持两种ACL匹配顺序：配置顺序（config模式）和自动排序（auto模式）。缺省的ACL匹配顺序是config模式。6.ACL规则匹配

10.1.1ACL的概念任务1ACL的应用场景1）配置顺序模式配置顺序，即系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配，具体情况如图10-2所示。根据是否指定了规划编号，分为如下两类情况：如果配置规则时指定了规则编号，则规则编号越小，规则插入位置越靠前，该规则越先被匹配。如果配置规则时未指定规则编号，则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数，因此该规则会被最后匹配。6.ACL规则匹配10.1.1ACL的概念任务1ACL的应用场景2）自动排序模式

自动排序，是指系统使用“深度优先”的原则，将规则按照设备预设的精确度从高到低进行排序，并按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格，规则的精确度就越高，即优先级越高，系统越先匹配。不同的ACL分类，具体的“深度优先”自动排序模式有所区别，可以查询设备相关说明文件进行了解。6.ACL规则匹配10.1.1ACL的概念任务1ACL的应用场景

网络管理员可以根据基于时间的ACL过滤，有效解决网络访问行为的要求和网络的拥塞情况，配置一个或多个ACL生效时间段，然后在ACL规则中引用该时间段，从而实现在不同的时间段设置不同的策略，达到网络优化的目的。例如，在上课时间只允许学生浏览与学习相关的几个网站，下课或周末时间才可以访问其他互联网网站；再如，在每天20:00～22:00的网络流量的高峰期，为防止P2P、下载类业务占用大量带宽对其他同学数据业务的正常使用造成影响，需要对P2P、下载类业务的带宽进行限制。7.ACL生效时间段10.1.1ACL的概念任务1ACL的应用场景ACL规则中引用的ACL生效时间段存在两种模式：1）周期时间段

以星期为参数来定义时间范围，表示规则以一周为周期（如每周一的8至12点）循环生效。格式：time-rangetime-namestart-timetoend-time{days}&<1-7>time-name：时间段名称，以英文字母开头的字符串。start-timetoend-time：开始时间和结束时间。格式为[小时:分钟]to[小时:分钟]。days：有多种表达方式，Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一个或者几个的组合，也可以用数字表达，0表示星期日，1表示星期一，……6表示星期六。working-day：从星期一到星期五，五天。daily：包括一周七天。off-day：包括星期六和星期日，两天。7.ACL生效时间段10.1.1ACL的概念任务1ACL的应用场景2）绝对时间段从某年某月某日的某一时间开始，到某年某月某日的某一时间结束，表示规则在这段时间范围内生效。格式：time-rangetime-namefromtime1date1[totime2date2]time-name：时间段名称，以英文字母开头的字符串。time1/time2：格式为[小时:分钟]。date1/date2：格式为[YYYY/MM/DD]，表示年/月/日。可以使用同一名称（time-name）配置内容不同的多条时间段，配置的各周期时间段之间以及各绝对时间段之间的交集将成为最终生效的时间范围。7.ACL生效时间段10.1.2基于ACL的包过滤任务1ACL的应用场景

ACL的包过滤是一种网络安全措施，它对每个进出网络端口的数据包逐个进行检查，并根据ACL规则决定是否允许或丢弃数据包。这些规则必须配置在指定端口的某个方向上才能生效，每个端口的一个方向（入或出方向）只能配置一个包过滤策略。10.1.2基于ACL的包过滤任务1ACL的应用场景1）入方向只对从外部进入网络的数据包进行过滤，即流量将要进入本地设备端口，要被本地设备处理，如图10-3所示；2）出方向只对从内部发出的数据包进行过滤，即已经被本地设备处理过，流量将离开本地设备端口，如图10-3所示。1.ACL包过滤配置方向10.1.2基于ACL的包过滤任务1ACL的应用场景1）当数据包到达接口时，系统检查是否应用了ACL规则。如果有ACL规则，系统将开始匹配，否则数据包将被允许通过；2）数据包将按照ACL编号，开始匹配第一条规则，如果匹配成功，系统将继续检查该规则的动作；3）如果规则动作是允许，系统将允许数据包通过；4）如果规则动作是拒绝，系统将丢弃数据包；5）如果第一条规则未匹配，系统将继续匹配下一条规则，以此类推；6）如果没有规则匹配，系统将检查默认动作；7）如果默认动作是允许，系统将允许数据包通过；8）如果默认动作是拒绝，系统将丢弃数据包。2.ACL包过滤的工作流程10.1.2基于ACL的包过滤任务1ACL的应用场景如果默认动作是允许，至少需要配置一条拒绝规则，以确保网络安全；如果默认动作是拒绝，至少需要配置一条允许规则，以确保合法数据的通过；在规则设置中，通常建议将最具体的规则配置在前面，以提高匹配效率；在不影响网络功能的前提下，尽量将包过滤配置在距离数据源最近的接口的入方向，以提高网络性能。通过访问控制列表可以限制特定访问：ACL可以定义哪些用户或主机可以访问特定资源，从而限制未经授权的访问尝试，有效防止敏感数据泄露。可以精细控制流量：管理员可以根据数据包的源地址、目的地址、协议类型、端口号等多种条件来配置ACL规则，实现对网络流量的精细控制，提高网络性能和安全性。但是访问控制列表的配置需要高度的严谨性和准确性。就如同在生活中，我们需要遵守各种规则和制度，不能随意逾越。一个小小的错误配置可能会导致严重的安全漏洞，这需要我们在学习和未来的工作中要保持严谨认真的态度，对每一个细节都要精益求精。3.ACL配置注意事项10.1.3ACL命令格式任务1ACL的应用场景使用编号(2000～2999)创建一个数字型的基本ACL，并进入基本ACL视图。[Huawei]acl[number]acl-number[match-order{auto|config}]使用名称创建一个命名型的基本ACL，并进入基本ACL视图。[Huawei]aclnameacl-name{basic|acl-number}[match-order{auto|config}]1.创建基本ACL10.1.3ACL命令格式任务1ACL的应用场景[Huawei-acl-basic-2000]rule[rule-id］{permit|deny}[source{source-addresssource-wildcard|any}|fragmnet|logging|time-rangetime-name]命令中各项参数解释：Rule：表示这是一条规则。rule-id：表示这条规则的编号。permit|deny：表示与这条规则相关联的处理动作，每条规则都必须从permit、deny中选择一个，permit命令表示允许，deny命令表示拒绝。Source：表示源IP地址。2.基本ACL的命令格式10.1.3ACL命令格式任务1ACL的应用场景source-address：表示具体的源IP地址或地址段。source-wildcard：表示通配符，与source-address结合使用，确定IP地址的集合或一个具体的IP地址。Any：表示源IP地址可以是任意地址

。

Fragmnet：表示该规则只对非首片分片报文有效。Logging：表示对匹配本规则的IP报文进行日志记录。

time-rangetime-name：表示本规则调用的生效时间段名称为time-name，time-name是网络管理员在系统视图下通过time-range命令提前配置完成。2.基本ACL的命令格式10.1.3ACL命令格式任务1ACL的应用场景

与基本ACL相比，高级ACL提供了更准确、丰富、灵活的规则定义方法。比如根据源IPv4地址、目的IPv4地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。高级ACL的命令格式，以参数protocol为TCP进行示例：[Huawei-acl-adv-3000]rule[rule-id]{deny|permit}{protocol-number|tcp}[destination{destination-addressdestination-wildcard|any}|destination-port{eqport|gtport|ltport|rangeport-startport-end}|{{precedenceprecedence|tostos}*|dscpdscp}|{fragment|first-fragment}|logging|source{source-addresssource-wildcard|any}|source-port{eqport|gtport|ltport|rangeport-startport-end}|tcp-flag{ack|established|fin|psh|rst|syn|urg}*|time-rangetime-name|ttl-expired|{vpn-instancevpn-instance-name|public}]3.高级ACL的命令格式10.1.3ACL命令格式任务1ACL的应用场景高级ACL与基本ACL命令格式常规参数相同，下面介绍高级ACL中的经常使用的参数Destination：目的IP地址信息destination-address：具体的目的IP地址destination-wildcard：与destination-address结合使用，可以确认具体的主机或是某一网段。eqport:表示等于具体的端口号（如80、56、21、23端口号）3.高级ACL的命令格式项目10使用ACL（访问控制列表）提升网络安全性10.2.1ACL基本配置10.2.2配置案例：接口上应用包过滤的ACL配置

ACL的配置任务

210.2.1ACL基本配置任务2ACL的配置1.配置数字型ACL创建基本ACL，编号为2300[Huawei]acl2300[Huawei-acl-basic-2300]2.配置命名型ACL创建名称为office的acl，默认会创建一个名称为office的高级acl。[Huawei]aclnameoffice

[Huawei-acl-adv-office]创建名称为work，编号为2100的acl，会创建一个名称为work的基本acl。[Huawei]aclnameoffice

[Huawei-acl-basic-work]10.2.1ACL基本配置任务2ACL的配置3.配置ACL步长配置ACL步长为2，步长的取值范围为1-20，默认为5[Huawei-acl-basic-2300]step24.配置ACL描述信息配置ACL2300描述信息为“Permitonlythrough”[Huawei-acl-basic-2300]descriptionPermitonlythrough10.2.1ACL基本配置任务2ACL的配置5.配置生效周期时间段配置一个生效时间段名称为work，从周一到周五每天8:00到18:00生效[Huawei]time-rangework8:00to18:00working-day

配置生效时间段名称为xiuxi，从周六、周日下午14:00到18:00生效[Huawei]time-rangexiuxi14:00to18:00off-day

配置生效时间段名称为test，从2014年1月1日00:00起到2014年12月31日23:59生效[Huawei]time-rangetestfrom00:0020124/01/01to23:592024/12/31

10.2.1ACL基本配置任务2ACL的配置6.配置ACL2300基于生效时间的rule创建名称为work的生效时间段，从周一到周五每天8:00到18:00，并在编号2300的ACL中引用前期创建的生效时间段work，在work限定的时间范围内，拒绝/24源IP地址网段的报文通过。[Huawei]time-rangeworking-time8:00to18:00work[Huawei]acl2300[Huawei-acl-basic-2300]ruledenysource55time-rangework7.配置ACL2300基于源IP的规则创建一条规则编号为5，拒绝放行IP为0的主机报文通过的rule，再创一条规则编号为10，允许放行IP为0的主机报文通过的rule。[huawei-acl-basic-2300]rule5denysource00

[huawei-acl-basic-2300]rule10permitsource0010.2.1ACL基本配置任务2ACL的配置8.配置ACL2300应用到端口GE0/0/0入向[Huawei]interfaceGigabitEthernet0/0/0[Huawei-GigabitEthernet0/0/0]traffic-filterinboundacl23009.配置基于IP分片信息、源IP地址（网段地址）过滤报文的规则在ACL2300中配置规则，拒绝源IP地址是/24网段地址的非首片分片报文通过。[Huawei]acl2300[Huawei-acl-basic-2300]ruledenysource55none-first-fragment10.配置基于ICMP协议类型、源IP地址（主机地址）和目的IP地址（网段地址）过滤报文的规则在ACL3001中配置规则，允许源IP地址是主机地址且目的IP地址是/24网段地址的ICMP报文通过。[Huawei]acl3001[Huawei-acl-adv-3001]rulepermiticmpsource0destination5510.2.1ACL基本配置任务2ACL的配置11.配置基于TCP协议类型、TCP目的端口号、源IP地址（主机地址）和目的IP地址（网段地址）过滤报文的规则在名称为deny-telnet的高级ACL中配置规则，拒绝IP地址是的主机与/24网段的主机建立Telnet连接。[Huawei]aclnamedeny-telnet[Huawei-acl-adv-deny-telnet]ruledenytcpdestination-porteqtelnetsource0destination55在名称为no-web的高级ACL中配置规则，禁止和两台主机访问Web网页（HTTP协议用于网页浏览，对应TCP端口号是80）。[Huawei]aclnameno-web[Huawei-acl-adv-no-web]ruledenytcpdestination-porteq80source0[Huawei-acl-adv-no-web]ruledenytcpdestination-porteq80source010.2.1ACL基本配置任务2ACL的配置12.配置基于源MAC地址（单个MAC地址）、目的MAC地址（单个MAC地址）和二层协议类型过滤报文的规则在ACL4001中配置规则，允许目的MAC地址是0000-0000-0001、源MAC地址是0000-0000-0002的ARP报文（二层协议类型值为0x0806）通过。[Huawei]acl4001[Huawei-acl-L2-4001]rulepermitdestination-mac0000-0000-0001source-mac0000-0000-0002l2-protocol0x080613.在ACL4001中配置规则，拒绝PPPoE报文（二层协议类型值为0x8863）通过[Huawei]acl4001[Huawei-acl-L2-4001]ruledenyl2-protocol0x8863denytcpdestination-porteq80source010.2.1ACL基本配置任务2ACL的配置14.配置基于源MAC地址（MAC地址段）和内层VLAN过滤报文的规则在名称为deny-vlan10-mac的二层ACL中配置规则，拒绝来自VLAN10且源MAC地址在00e0-fc01-0000～00e0-fc01-ffff范围内的报文通过。[Huawei]aclnamedeny-vlan10-maclink[Huawei-acl-L2-deny-vlan10-mac]ruledenyvlan-id10source-mac00e0-fc01-0000ffff-ffff-000015.配置基于目的IP地址过滤报文的规则在ACL6000中配置规则，允许所有Portal用户可以免认证访问IP地址为/24的网络。[Huawei]acl6000[Huawei-acl-ucl-6000]rulepermitipdestination16.查看ACL配置信息[Huawei]displayacl600010.2.2配置案例：接口上应用包过滤的ACL配置任务2ACL的配置1.项目需求某学校内的各部门之间通过路由器CORE实现互连，该学校的工作时间为每周工作日的8点到17点。要求财务处长在任意时间可以访问数据中心（DATA）财务服务器，财务处人员只在工作时间可以访问数据中心（DATA）财务服务器，禁止其他部门人员在任何时间访问财务服务器，所有工作人员在任何时段可以访问数据中心的WEB服务器，但只能访问80端口。具体的网络拓扑图，如图10-4所示；设备互联端口、端口IP地址和VLANID见表10-2所示；主机IP地址和网关，见表10-3。10.2.2配置案例：接口上应用包过滤的ACL配置任务2ACL的配置1.项目需求10.2.2配置案例：接口上应用包过滤的ACL配置任务2ACL的配置1.项目需求10.2.1ACL基本配置任务2ACL的配置2.配置过程1）配置ACC1-SW交换机配置交换机名称为ACC1-SW。[Huawei]sysnameACC1-SW[ACC1-SW][Huawei-acl-ucl-6000]rulepermitipdestination10.2.1ACL基本配置任务2ACL的配置2.配置过程1）配置ACC1-SW交换机配置VLAN80，并将端口GE0/0/1和GE0/0/2加入VLAN80。[ACC1-SW]vlan80[ACC1-SW-vlan80]quit[ACC1-SW][ACC1-SW]interfaceGigabitEthernet0/0/1[ACC1-SW-GigabitEthernet0/0/1]portlink-typeaccess[ACC1-SW-GigabitEthernet0/0/1]portdefaultvlan80[ACC1-SW-GigabitEthernet0/0/1]quit[ACC1-SW][ACC1-SW]interfaceGigabitEthernet0/0/2[ACC1-SW-GigabitEthernet0/0/2]portlink-typeaccess[ACC1-SW-GigabitEthernet0/0/2]portdefaultvlan80[ACC1-SW-GigabitEthernet0/0/2]quit[ACC1-SW]10.2.1ACL基本配置任务2ACL的配置2.配置过程1）配置ACC1-SW交换机创建虚拟接口VLANIF80，并配置IP为54/24。[ACC1-SW]interfacevlanif80[ACC1-SW-Vlanif80]ipaddress5424[ACC1-SW-Vlanif80]quit[ACC1-SW]配置VLAN20，并将端口GE0/0/24加入VLAN20。[ACC1-SW]vlan20[ACC1-SW-vlan20]quit[ACC1-SW]interfaceGigabitEthernet0/0/24[ACC1-SW-GigabitEthernet0/0/24]portlink-typeaccess[ACC1-SW-GigabitEthernet0/0/24]portdefaultvlan20[ACC1-SW-GigabitEthernet0/0/24]quit[ACC1-SW]10.2.1ACL基本配置任务2ACL的配置2.配置过程1）配置ACC1-SW交换机创建虚拟接口VLANIF20并配置IP地址为/24，用于与路由器CORE的GE0/0/0端口互联。

[ACC1-SW]interfacevlanif20[ACC1-SW-Vlanif20]ipaddress24[ACC1-SW-Vlanif20]quit10.2.1ACL基本配置任务2ACL的配置2.配置过程2）配置ACC2-SW交换机配置交换机名称为ACC2-SW

[Huawei]sysnameACC2-SW[ACC2-SW]10.2.1ACL基本配置任务2ACL的配置2.配置过程2）配置ACC2-SW交换机配置VLAN90，并将端口GE0/0/1加入VLAN90

[ACC2-SW]vlan90[ACC2-SW-vlan90]quit[ACC2-SW][ACC2-SW]interfaceGigabitEthernet0/0/1[ACC2-SW-GigabitEthernet0/0/1]portlink-typeaccess[ACC2-SW-GigabitEthernet0/0/1]portdefaultvlan90[ACC2-SW-GigabitEthernet0/0/1]quit[ACC2-SW]10.2.1ACL基本配置任务2ACL的配置2.配置过程2）配置ACC2-SW交换机创建虚拟接口VLANIF90，并配置IP为54/24[ACC2-SW]interfacevlanif90[ACC2-SW-Vlanif90]ipaddress5424[ACC2-SW-Vlanif90]quit[ACC2-SW]配置VLAN30，并将端口GE0/0/24加入VLAN30[ACC2-SW]vlan30[ACC2-SW-vlan30]quit[ACC2-SW]interfaceGigabitEthernet0/0/24[ACC2-SW-GigabitEthernet0/0/24]portlink-typeaccess[ACC2-SW-GigabitEthernet0/0/24]portdefaultvlan30[ACC2-SW-GigabitEthernet0/0/24]quit[ACC2-SW]10.2.1ACL基本配置任务2ACL的配置2.配置过程2）配置ACC2-SW交换机创建虚拟接口VLANIF30并配置IP地址为/24，用于与路由器CORE的GE0/0/1端口互联。[ACC2-SW]interfacevlanif30[ACC2-SW-Vlanif30]ipaddress24[ACC2-SW-Vlanif30]quit10.2.1ACL基本配置任务2ACL的配置2.配置过程3）配置DATA交换机配置交换机名称为DATA。[Huawei]sysnameDATA[DATA]配置VLAN100，并将端口GE0/0/1和GE0/0/2加入VLAN100。[DATA]vlan100[DATA-vlan100]quit[DATA]10.2.1ACL基本配置任务2ACL的配置2.配置过程3）配置DATA交换机[DATA]interfaceGigabitEthernet0/0/1[DATA-GigabitEthernet0/0/1]portlink-typeaccess[DATA-GigabitEthernet0/0/1]portdefaultvlan100[DATA-GigabitEthernet0/0/1]quit[DATA][DATA]interfaceGigabitEthernet0/0/2[DATA-GigabitEthernet0/0/2]portlink-typeaccess[DATA-GigabitEthernet0/0/2]portdefaultvlan100[DATA-GigabitEthernet0/0/2]quit[DATA]10.2.1ACL基本配置任务2ACL的配置2.配置过程3）配置DATA交换机创建虚拟接口VLANIF100，并配置IP为54/24。[DATA]interfacevlanif100[DATA-Vlanif100]ipaddress5424[DATA-Vlanif100]quit配置VLAN40，并将端口GE0/0/24加入VLAN40。[DATA]vlan40[DATA-vlan40]quit[DATA]interfaceGigabitEthernet0/0/24[DATA-GigabitEthernet0/0/24]portlink-typeaccess[DATA-GigabitEthernet0/0/24]portdefaultvlan40[DATA-GigabitEthernet0/0/24]quit[DATA]10.2.1ACL基本配置任务2ACL的配置2.配置过程3）配置DATA交换机创建虚拟接口VLANIF40并配置IP地址为/24，用于与路由器CORE的GE0/0/2端口互联。

[DATA]interfacevlanif40[DATA-Vlanif40]ipaddress24[DATA-Vlanif40]quit10.2.1ACL基本配置任务2ACL的配置2.配置过程4）配置CORE路由器配置路由器名称为CORE。[Huawei]sysnameCORE[CORE]配置路由器端口GE0/0/0的IP地址为。[CORE]interfaceGigabitEthernet0/0/0[CORE-GigabitEthernet0/0/0]ipaddress24[CORE-GigabitEthernet0/0/0]quit10.2.1ACL基本配置任务2ACL的配置2.配置过程4）配置CORE路由器配置路由器名称为CORE。[Huawei]sysnameCORE[CORE]配置路由器端口GE0/0/0的IP地址为。[CORE]interfaceGigabitEthernet0/0/0[CORE-GigabitEthernet0/0/0]ipaddress24[CORE-GigabitEthernet0/0/0]quit10.2.1ACL基本配置任务2ACL的配置2.配置过程4）配置CORE路由器配置路由器端口GE0/0/1的IP地址为。[CORE]interfaceGigabitEthernet0/0/1[CORE-GigabitEthernet0/0/1]ipaddress24[CORE-GigabitEthernet0/0/1]quit配置路由器端口GE0/0/2的IP地址为。[CORE]interfaceGigabitEthernet0/0/2[CORE-GigabitEthernet0/0/2]ipaddress24[CORE-GigabitEthernet0/0/2]quit10.2.1ACL基本配置任务2ACL的配置2.配置过程5）配置路由在交换机ACC1-SW上配置到/24网段的静态路由。[ACC1-SW]iproute-static在交称机ACC2-SW上配置到/24网段的静态路由。[ACC2-SW]iproute-static在路由器CORE上配置到/24、/24、/24网段的静态路由。[CORE]iproute-static[CORE]iproute-static[CORE]iproute-static在交称机DATA上配置到/24和192.168.10./240网段的静态路由。[DATA]iproute-static[DATA]iproute-static10.2.1ACL基本配置任务2ACL的配置2.配置过程6）配置ACL创建名为work的时间段，其时间范围为每周工作日的8点到18点。[DATA]time-rangework08:00to18:00working-day创建高级ACL3000，并进入ACL3000。[DATA]acl3000[DATA-acl-adv-3000]配置财务处长在任意时间访问财务服务器规则。[DATA-acl-adv-3000]rule5permitipsource0destination010.2.1ACL基本配置任务2ACL的配置2.配置过程6）配置ACL配置财务处其他工作人员在工作时间访问财务服务器规则。[DATA-acl-adv-3000]rule10permitipsource55destination0time-rangework配置禁止其他部门在任何时间访问财务服务器规则。[DATA-acl-adv-3000]ruledenyipsourceanydestination07）在交换机DATA的GE0/0/24的入方向上应用ACL3000[DATA-GigabitEthernet0/0/24]traffic-filterinboundacl300010.2.1ACL基本配置任务2ACL的配置3.验证ACL配置效果1）在财务处CW-PC上使用Ping和Tracert命令检查到WEB服务器路由是否可达，如图10-5所示。1