📘 ACL 原理与配置

✅ 一、ACL 技术背景与作用

🎯 应用背景

• 现代网络面临安全和QoS挑战，需有机制精准控制数据流。
• ACL（Access Control List）是典型的报文过滤技术，实现流量的精细控制。

📌 ACL的典型应用场景

• 防止非法访问、网络攻击；
• QoS流分类；
• 路由策略匹配条件；
• NAT地址转换匹配条件；
• 防火墙策略；
• 精细化控制业务访问行为。

✅ 二、ACL 原理与组成结构

📍 ACL基本组成

ACL 是由一组有序的规则列表构成，规则由以下元素组成：

📌 注意：

• 系统自动在末尾隐含一条“deny all”规则。
• 匹配采用“顺序优先，命中即停”原则。

✅ 三、通配符详解（Wildcard Mask）

🧠 说明：

• 通配符的“1”代表该位可任意，“0”代表必须严格匹配；
• 不等同于子网掩码！

✅ 四、ACL 分类与编号范围

👉 数字型 ACL 与命名型 ACL（name-based）均支持配置。

✅ 五、ACL 匹配逻辑与流程

📌 匹配流程图概览：

开始 → 检查ACL是否存在 → 是否含有规则 → 依次匹配规则 →
若匹配 → 是否permit？ → 是：通过 / 否：拒绝
未命中任何规则 → 默认deny all

• 规则编号越小越优先匹配
• 建议步长设为5（可中间插入规则）

✅ 六、ACL 应用方向

⚠ 不同接口方向部署 ACL 对结果影响很大！

✅ 七、ACL 基本配置方法（华为设备）

🔹 创建ACL：

[Huawei] acl 2000           # 创建基本ACL
[Huawei] acl 3000           # 创建高级ACL

🔹 添加规则：

[Huawei-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000] rule 10 permit source any

[Huawei-acl-adv-3000] rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

🔹 应用ACL到接口：

[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

✅ 八、配置案例分析

✅ 案例1：使用基本ACL禁止访问特定网段

要求禁止192.168.1.0/24用户访问服务器

[Huawei] acl 2000
[Huawei-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000] rule permit source any
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

✅ 案例2：使用高级ACL实现双向隔离

拒绝研发部（10.1.1.0）访问市场部（10.1.2.0）及反向流量

[Huawei] acl 3001
[Huawei-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Huawei] acl 3002
[Huawei-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3002

✅ 九、本章小结

以下是《第12章：ACL原理与配置》的配套章节题库，题型覆盖选择题、判断题、简答题与综合题，适合巩固核心知识点、练习应用能力、模拟考试等场景。

🧪 第12章 ACL原理与配置 – 配套章节题库

✅ 一、单项选择题（每题2分）

1. ACL的主要作用是：
   A. 分配IP地址
   B. 控制流量与访问权限
   C. 提供DNS服务
   D. 配置VLAN
   ✅ **答案：B**

2. 以下哪项不属于ACL的典型应用？
   A. 流量过滤
   B. 地址转换
   C. 设备身份认证
   D. 防火墙策略匹配
   ✅ **答案：C**

3. 在ACL通配符中，0表示：
   A. 不可匹配
   B. 必须匹配
   C. 任意值
   D. 忽略此位
   ✅ **答案：B**

4. 高级ACL与基本ACL最大的区别是：
   A. 可应用于出方向
   B. 可过滤广播报文
   C. 可匹配更多维度，如协议与端口
   D. 自动生成规则
   ✅ **答案：C**

5. 默认情况下，ACL的未命中行为是：
   A. 全部放行
   B. 自动拒绝
   C. 系统提示
   D. 自动跳转下一ACL
   ✅ **答案：B**

✅ 二、判断题（每题1分）

1.（✔）ACL规则是自上而下顺序匹配的，命中即停止。
2.（✘）ACL只支持过滤IP地址，不能匹配端口或协议。
3.（✔）在接口应用ACL时，入方向指的是数据进入设备前被过滤。
4.（✔）系统默认在ACL末尾添加“deny all”规则。
5.（✘）ACL只适用于交换机接口，不能用于路由器上。

✅ 三、简答题（每题5分）

1. 简述ACL的主要作用与典型使用场景。
   参考答案：

   • 作用：控制网络中允许或拒绝的数据流；
   • 场景包括防火墙策略、安全控制、NAT匹配、QoS流分类、用户隔离等。

2. 请写出ACL配置的匹配流程并说明通配符的作用。
   参考答案：

   • 匹配流程为顺序匹配 → 命中 → 执行动作（permit/deny） → 退出；
   • 通配符用于IP匹配控制，0表示精确匹配，1表示任意值，决定ACL匹配的粒度。

3. 举例说明基本ACL和高级ACL的配置区别。
   参考答案：

• 基本ACL仅匹配源IP：

  [Huawei] acl 2000
  [Huawei-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
  

  • 高级ACL匹配更多维度：

     [Huawei] acl 3000
     [Huawei-acl-adv-3000] rule deny tcp source 192.168.1.0 0.0.0.255 destination-port eq 80
  

✅ 四、综合题 / 场景题（每题10分）

场景：

某公司网络结构如下：

• 研发部：IP段 192.168.10.0/24，接入GE0/0/1
• 财务部：IP段 192.168.20.0/24，接入GE0/0/2
• 要求：禁止研发访问财务，但允许财务访问研发。

问题：

1. 应使用哪种ACL？
2. 配置过程包括哪些命令？
3. 若将ACL用于入方向，是否仍能实现？

参考答案：

1. 应使用高级ACL（匹配源/目的IP）；
2. 配置如下：

[Huawei] acl 3001
[Huawei-acl-adv-3001] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[Huawei-acl-adv-3001] rule permit ip source any destination any
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GE0/0/1] traffic-filter inbound acl 3001

3. 可以，只需将ACL应用在研发接入接口的入方向，即可拦截其发起的数据。