ACL

01-07 ACL配置 Page 17 of 18

清除统计信息后，以前的统计信息将无法恢复，务必仔细确认。

在确认需要清除ACL的运行信息后，请在用户视图下执行下面的reset命令。 操作

清除访问规则计数器

命令

reset acl counter { acl-number | all } reset acl statistic [ acl-number ]

清除ACL统计计数器

7.4 ACL基本配置举例

组网需求

如图7-1所示，某公司通过一台路由器的接口GE1/0/0访问Internet，路由器与内部网通过 以太网接口GE2/0/0连接。各设备间均有可达路由。公司内部对外提供WWW、FTP和 Telnet服务，公司内部子网为129.38.1.0，其中，内部FTP服务器地址为129.38.1.1，内部 Telnet服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，通过配置路由器， 希望实现以下要求。

· ·

外部网络中只有特定用户可以访问内部服务器 内部网络中只有特定主机和服务器可以访问外部网络

假定外部特定用户的IP地址为202.39.2.3。

图7-1 ACL配置案例组网图

配置思路

配置ACL的思路如下。

· ·

定义ACL编号； 定义ACL的具体规则。

数据准备

完成该举例，需要准备如下数据。

01-07 ACL配置

Page 18 of 18

· · ·

ACL编号

允许通过的源IP地址

允许特定用户访问的目的IP地址

配置步骤

步骤 1 创建编号为3001的访问控制列表。

system-view

[Router] acl number 3001

步骤 2 配置ACL规则，允许特定主机访问外部网，允许内部服务器访问外部网。

[Router-acl-adv-3001] rule permit ip source 129.38.1.4 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.1 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.2 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.3 0

步骤 3 配置ACL规则，禁止所有IP包通过。

[Router-acl-adv-3001] rule deny ip [Router-acl-adv-3001] quit

步骤 4 创建编号为3002的访问控制列表。

[Router] acl number 3002

步骤 5 配置ACL规则，允许特定用户从外部网访问内部服务器。

[Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0

通过上述配置完成了ACL的创建。

----结束

配置文件

#

sysname Router #

acl number 3001

rule 5 permit ip source 129.38.1.4 0 rule 10 permit ip source 129.38.1.1 0 rule 15 permit ip source 129.38.1.2 0 rule 20 permit ip source 129.38.1.3 0 rule 25 deny ip acl number 3002

rule 5 permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 rule 10 permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 rule 15 permit tcp source 202.39.2.3 0 destination 129.38.1.3 0 #

return