今天的實驗還是以前的筆記，實驗效果雖然出來了，但其實還是有些困惑，這個最后再說。

實驗拓撲

如上圖拓撲，實驗?zāi)康模褐辉试SPC1（Client1）訪問R1，不允許PC2（Clien2）訪問R1。

基礎(chǔ)配置：

AR1：

interface GigabitEthernet0/0/0

ip address 12.12.12.1 255.255.255.0

ip route-static 192.168.0.0 255.255.0.0 12.12.12.2

AR2:

interface Ethernet0/0/0

ip address 192.168.1.254 255.255.255.0

interface Ethernet0/0/1

ip address 192.168.100.254 255.255.255.0

interface GigabitEthernet0/0/0

ip address 12.12.12.2 255.255.255.0

PC1:

PC1的IP地址

PC2：

PC2的IP地址

連通性測試：

PC1:

PC1連通性測試

PC2：

PC2連通性測試

目前路由都可達，網(wǎng)絡(luò)連通性沒有問題，接下來配置ACL，限制PC2的訪問。

華為ACL配置思路：

1.配置ACL

2.配置流分類

3.配置流行為

4.配置流策略

5.把策略應(yīng)用到接口

1.配置ACL

[AR2]acl name deny_PC2

[AR2-acl-adv-deny_PC2] rule 5 deny ip source 192.168.100.0 0.0.0.255 destination 12.12.12.0 0.0.0.255

[AR2-acl-adv-deny_PC2]rule 10 permit ip

2. 配置流分類

[AR2]traffic classifier deny_PC2

[AR2-classifier-deny_PC2]if-match acl deny_PC2

3. 配置流行為

[AR2]traffic behavior deny_PC2

[AR2-behavior-deny_PC2] permit

4. 配置流策略

[AR2]traffic policy deny_PC2

[AR2-trafficpolicy-deny_PC2]classifier deny_PC2 behavior deny_PC2

5.把策略應(yīng)用到接口

[AR2] int Ethernet0/0/0

[AR2-Ethernet0/0/0]traffic-policy deny_PC2 outbound

測試效果：

PC1連通性正常

PC2無法訪問

使用訪問控制后，PC1還能正常訪問R1，但PC2已經(jīng)無法訪問。

實驗結(jié)束。

雖然已經(jīng)達到實驗?zāi)康模【帉ε渲萌A為設(shè)備訪問控制的理解可能還是有些欠缺。以上實驗中ACL是deny，在流行為里面使用了permit。我個人理解是流行為允許了ACL中的deny動作（匹配+動作）。或者反過來，在ACL里面使用permit，在流行為中使用deny，那么應(yīng)該就是說在ACL中匹配的流量在流行為中被deny了（實驗驗證過）。但令我費解的是查看華為官方文檔，文檔中的演示：ACL和流行為都是deny的，實驗效果也和上面兩種一樣。

上面說的如果有點繞，簡化一下：

1. ACL:deny，流行為：permit，結(jié)果deny

2. ACL:permit，流行為：deny，結(jié)果deny

3. ACL:deny，流行為：deny，結(jié)果deny （官方示例）

4. ACL:permit，流行為：permit，結(jié)果permit

小編個人覺得華為的訪問控制配起來真尼瑪煩，據(jù)說現(xiàn)在也能直接把ACL掛在接口了，但我沒找到。

最后，有興趣學(xué)習華為數(shù)通的同學(xué)，推薦使用eNSP模擬華為設(shè)備，使用HedEx Lite查閱技術(shù)文檔。