200分求华为配置的高手来配置华为三层交换实现acl应用到vlan及路由器NAPT

根据ACL要求，1、2、3、4、5、6，看起来很复杂，其实比较简单，在核心交换机上面针对vlan配置ACL不要针对接口，从要求4和5来看对于服务器区域的互访看起来好像矛盾，其实一点都不影响，服务器在作为客户端访问其他PC机的时候不会使用80端口和21端口，所以只要在端口的进出方向配置ACL就可以了。其他NAT的只要做要映射就没有问题了，华为的话可以参考相应的华为手册。NAPT就不附上命令，服务映射配置命令如下:
interface Ethernet 2/0/0
ip address2032032032 2552552550
nat server protocol tcp global 202169105 >acl number 3111 创建acl 高级访问控制列表3111
rule 1 permit ip source 1721610 000255
定义小规则1 允许 源ip为1721610/24（2552552550）的网段访问目标地址为any（所有的ip）地址
acl number 3112 创建acl高级访问控制列表3112
rule 0 permit ip source 172161200 0
同上
定义小规则0允许源172161200/32（255255255255）这一个主机访问目标为any的地址
acl number 3113 定义3113规则
rule 0 permit ip
小规则0允许源ip地址为any（所有）到目标地址为any地址。
#
acl name lan 创建acl为名字的规则，规则名为lan
rule 0 permit
小规则0允许源ip地址为any（所有）到目标地址为any地址。
#
intterface Aux0 异步端口、为系统默认。一般无用。
async mobe flow
2000-2999 的acl规则为标准acl 只能定义源ip地址
3000-3999 的acl规则为高级acl 能够定义源ip地址和目的ip地址。
只定义acl 而不引用是无效的。你这几条acl肯定在某一端口下引用了。

acl num 2000
rule permit source 1921681010 0 0表示单一ip地址
中间省略。
rule permit source 1921681060 0
将此acl下发到外网接口，nat out 2000
也就是acl里定义的ip地址可以访问外网，用定义nat的acl来控制，不增加的ip地址，就不能上网。添加的就能上外网

acl 2000只能匹配“源” （跟思科的标准acl很像）
你拒绝来自于“10030/24的数据包”通过，就应该在LSW2的E0/0/1接口做
因为只有这个接口会收到来自于10030/24的数据包
在LSW2的G0/0/2接口上，只会“收”到来自于路由器的例如100111的数据包
根本就匹配不到你的acl 2000
至于为什么是 “ 收 ” 而不是 “发”　这是因为你的　流过滤　里配置的是inbound方向
你可以改成traffic-filter outbound

---