之前的技术帖我们给大家介绍了基于基本的ACL的包过滤防火墙功能，今天的技术帖我们给大家介绍基于高级的ACL的包过滤防火墙功能。

鉴于我们的华三模拟器pc没有telnet功能，所以我们把拓扑图做一些改动！

小知识点：如何用路由器充当pc。

1. 先给路由器接口配置ip地址和掩码；

2. 在路由器上配置默认路由指向网关（相当于给pc配置网关地址）。

sys

[H3C]sysnamepc1

[pc1]intg 0/0

[pc1-GigabitEthernet0/0]ipadd 192.168.1.1 24

[pc1-GigabitEthernet0/0]quit

[pc1]iproute-static 0.0.0.0 0.0.0.0 192.168.1.254

[pc1]

先在R1上配置Telnet功能,使pc1可以正常远程telnet到R1。我们这边配置一个最简单的无需密码登录！

验证：

题目要求：希望PC1可以和路由器进行正常的数据通信，但拒绝pc的Telnet访问R1.

（分析：针对pc1，只有Telnet流量被禁止，其它流量要被放行，标准acl无法实现同一个用户，部分流量被限制的功能，所以这里只能用高级acl）

命令解析：

包过滤防火墙的默认规则是permit，所有允许通过的规则不需要单独设置

[R1]acl advanced 3000 ----创建一个高级acl 3000

[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255destination192.168.2.100 0.0.0.0 destination-porteq 23

-----设置拒绝192.168.1.0网段去192.168.2.100的Telnet访问

[R1-acl-ipv4-adv-3000]rule deny tcp source192.168.1.0 0.0.0.255 destination192.168.1.254 0.0.0.0 destination-port eq 23

-----设置拒绝192.168.1.0网段去192.168.1.254的Telnet访问

[R1-acl-ipv4-adv-3000]quit

[R1]int g 0/0

[R1-GigabitEthernet0/0]packet-filter 3000inbound ---接口下应用高级acl 3000

[R1-GigabitEthernet0/0]

高级acl的配置命令：acl advanced 3000 – 3999

rule permit/deny +协议+source +源网段+通配符 +destination +目的网段+通配符 +destination-port eq +端口号

测试：

可以ping通，但无法Telnet，另一个地址也是类似的效果。