ACL作用：

定义一系列不同的规则对数据包进行分类，针对不同的报文进行不同的处理，实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。

上图所示想达到网关RTA允许1.0网段主机可以访问Internet；而2.0网段中的主机则被禁止访问Internet。允许2.0网段访问服务器A，禁止1.0网段访问服务A的效果。

ACL规则：

• 一条ACL可以由多条"deny"|"permit"语句组成，每条语句描述一条规则
• 逐条匹配ACL规则，匹配则执行规则，不匹配则匹配下一条，无匹配则不进行任何处理。
• ACL中定义的这些规则可能会存在重复或矛盾的地方，规则的匹配顺序决定了规则的优先级，ACL通过设置规则的优先级来处理规则之间的重复或矛盾的情形。
• ARG3系列路由器支持两种匹配顺序：配置顺序和自动排序
• 配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。设备会在创建ACL的过程中自动会为每一条规则分配一个编号，规则编号决定了规则被匹配的顺序。通过设置步长，使规则之间留有一定的空间，可以在两个规则间插入新的规则。路由器匹配规则时默认采用配置顺序，ARG3系列路由器默认规则编号的步长是5。（如步长是5，则规则编号按照5/10/15这样的规则匹配，如果步长设定为2，则规则编号将按照2/4/6/8）规律自动分配。
• 自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序。
• 如上ACL2000规则15匹配，则拒绝来自172.16网络，允许172.16对报文不作任何处理，正常转发。

基本ACL配置：

[Huawei]acl 2000   //创建一个ACL，并进入ACL视图
[Huawei-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255   //deny用来指定拒绝符号条件的数据包，source用来指定ACL规则匹配报文的源地址信息
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl  2000   //在接口配置基于ACL对报文进行过滤
[Huawei]dis acl 2000   //验证配置的基本ACL
Basic ACL 2000, 1 rule
Acl's step is 5
 rule 5 deny source 192.168.1.0 0.0.0.255 
[Huawei]dis  traffic-filter applied-record   //查看设备所有基于ACL进行报文过滤的应用信息
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/0        outbound   acl 2000
-----------------------------------------------------------

高级ACL配置：

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21 
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
[Huawei-acl-adv-3000]rule permit ip
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[Huawei]dis acl 3000
Advanced ACL 3000, 3 rules
Acl's step is 5
 rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0 destinat
ion-port eq ftp 
 rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0 
 rule 15 permit ip 
[Huawei]dis traffic-filter applied-record 
-----------------------------------------------------------
Interface                   Direction  AppliedRecord       
-----------------------------------------------------------
GigabitEthernet0/0/0        outbound   acl 3000
-----------------------------------------------------------

[em]ACL能够依据源/目的IP地址、源/目的端口号、网络层及传输层协议以及IP流量分类和TCP标记值等各种参数（SYN|ACK|FIN等）进行报文过滤。[/em]

第一条：限制源地址范围1.0，目的IP地址为10.1，目的端口号为21的所有TCP报文；第二条：限制源地址范围2.0，目的10.2的所有TCP报文；第三条：rule permit ip 用于匹配所有IP报文，并对报文执行允许动作。

ACL应用-NAT：

[em]用于多个地址池的情况下，确定哪些内网地址是通过哪些特定外网地址池进行转换的。本例要求1.0的主机使用地址池1中的公网地址进行地址转换，而2.0的主机使用地址池2中公网地址进行地址转换。[/em]

[RTA]nat address-group 1 202.110.10.8 202.110.10.15
[RTA]nat address-group 2 202.115.60.1 202.115.60.30
[RTA]acl 2000
[RTA-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[RTA-acl-basic-2000]acl 2001
[RTA-acl-basic-2001]rule permit source 192.168.2.0 0.0.0.255
[RTA-acl-basic-2001]int G0/0/0
[RTA-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  //将NAT与ACL绑定
[RTA-GigabitEthernet0/0/1]nat outbound 2001 address-group 2

达到效果：1.0网段主机使用地址池1中的公网地址进行转换，2.0网段的主机使用地址池2中的公网地址进行转换

高级ACL可以基于哪些条件来定义规则？
高级ACL可以基于源/目的IP地址，源/目的端口号，协议类型以及IP流量分类和TCP标记值（SYN|ACK|FIN等）参数来定义规则。