本次实验需求有三个：

需求1：禁用主机192.168.1.10访问192.168.1.1

需求2：禁止主机192.168.1.10 ping 192.168.1.1，主机192.168.1.10上的其他功能正常访问

需求3：禁止主机192.168.1.10 ping 192.168.1.1 ，但是允许网关192.168.1.1 ping 主机192.168.1.10

本实验的pc使用路由器代替

首先我们先了解一下ACL

ACL是Access Control List的简称，中文是访问控制列表，ACL表中包含了一系列的规则，所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等，简单来说，ACL其实是人为定义的一组或几组规则，以便设备判断是否执行用户指定的动作，抽象来说，通过ACL，可以对报文进行分类，将具有某类共同特征的报文划分为一类，来为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务。ACL本质上是一种报文过滤器，规则是过滤器的滤芯，设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

目前我们这个实验运用到了ACL分类中的两种：基本ACL编号范围为2000～2999，规则中只包含源IP地址，对设备的CPU消耗较少，可用于简单的部署，但是使用场景有限，不能提供强大的安全保障。高级ACL编号范围为3000～3999，相较于基本ACL，高级ACL提供更高的扩展性，可以对流量进行更精细的匹配，通过配置高级ACL，可以阻止特定主机或者整个网段的源或者目标，除此之外，还可以使用协议信息（IP、ICMP、TCP、UDP）去过滤相应的流量。

ACL规则包括

1、规则编号：用于标识ACL规则，所有规则均按照规则编号从小到大进行排序

2、动作：包括permit/deny两种动作，表示设备对所匹配的数据包接受或者丢弃

3、匹配项：ACL定义了极其丰富的匹配项，包括生效时间段、IP协议（ICMP、TCP、UDP等）、源/目的地址以及相应的端口号（21、23、80等）

实验拓扑

配置接口地址，在网关上配置基本ACL条目

interface GigabitEthernet0/0/0

ip address 192.168.1.1 255.255.255.0

acl number 2000

rule 10 deny source 192.168.1.10 0

traffic-filter inbound acl 2000

配置主机IP地址

interface GigabitEthernet0/0/0

ip address 192.168.1.10 255.255.255.0

acl number 3000

rule 10 deny icmp source 192.168.1.10 0 icmp-type echo

interface GigabitEthernet0/0/0

traffic-filter inbound acl 3000