华为路由器ACL配置实例讲解

1.需求：
阻止外网所有ip访问我互联网1.1.1.1/28的 UDP161端口

2.配置：

2.1创建ACL和策略

acl number 3002
#创建高级ACL策略3002，高级ACL策略才可匹配源目ip加端口号
rule 0 deny udp destination 1.1.1.1 0.0.0.15 destination-port eq 161
#该规则的目的是拒绝所有目的IP为1.1.1.1~1.1.1.14，目的端口为161的UDP流量
0为顺序，按顺序匹配，deny关键字表示拒绝，udp表示规则适用于UDP协议，destination代表目的地

rule 1 deny udp source 1.1.1.1 0.0.0.15 source-port eq 161
#该规则的目的是拒绝所有源地址IP为1.1.1.1~1.1.1.14，源端口为161的UDP流量
1为顺序，按顺序匹配，deny关键字表示拒绝，udp表示规则适用于UDP协议，source代表源头

quit
#退出

2.2配置分类器

traffic classifier 3002
#为Traffic Classifier（流量分类器）创建一个名为3002的配置环境
if-match acl 3002
#将ACL3002与该分类器相关联

2.3配置流行为

traffic behavior 3002
#为Traffic Behavior创建一个名为3002的配置环境
deny
#设置该行为为拒绝（禁止通过）流量
quit
#退出
traffic policy 3002
#创建一个名为3002的Traffic Policy（流量策略）
classifier 3002 behavior 3002
#并将Traffic Classifier 3002与Traffic Behavior 3002相关联。
quit
#退出

2.4进入接口下发配置
int GigabitEthernet3/3/0
#进入 GigabitEthernet3/3/0接口
traffic-policy 3002 inbound
#流量策略3002应用于入方向的流量
traffic-policy 3002 outbound
#流量策略3002应用于出方向的流量