华为3COM标准访问控制列表初识(2)

　　由于华为3COM的设备是默认添加了permit ANY的语句在每个ACL中，所以上面的rule deny source any这句命令可以必须添加的，否则设置的ACL将无法生效，所有数据包都会因为结尾的permit语句而正常转发出去。另外在路由器连接网络不多的情况下也可以在E0端口使用firewall packet-filter 1 outbound命令来宣告，宣告结果和上面最后两句命令效果一样。

　　实例2：禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问，而172.16.4.0/24中的其他计算机可以正常访问。

　　access-list 1

　　//设置ACL，进入ACL1设置界面。

　　rule deny source 172.16.4.13 0.0.0.0

　　//阻止172.16.4.13这台计算机访问。

　　rule permit source any（如下图）

　　//设置ACL，容许其他地址的计算机进行通讯

　　int e1

　　//进入E1端口

　　firewall packet-filter 1 inbound

　　//将ACL1宣告，同理可以进入E0端口后使用firewall packet-filter 1 outbound来完成宣告。

　　配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯，传输数据包。需要提醒一点的是默认情况下华为设备在ACL结尾添加了rule permit source any的语句，所以本例中可以不输入该语句，效果是一样的。

　　总结：

　　标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。