访问控制列表(ACL)配置详解:精确控制网络流量

举报
神的孩子在歌唱 发表于 2025/07/30 00:01:16 2025/07/30
【摘要】 访问控制列表(ACL)配置详解:精确控制网络流量前言肝文不易,点个免费的赞和关注,有错误的地方请指出,看个人主页有惊喜。作者:神的孩子都在歌唱访问控制列表(ACL)就像路由器上的“守门人”,决定哪些数据可以通过,哪些必须拦截。它是一种用规则精确控制网络流量的方式,在企业网络、安全策略、边界防护中广泛使用。一. ACL 的作用与类型ACL 是一组规则,按顺序检查每一个进入或离开路由器的数据包。...

访问控制列表(ACL)配置详解:精确控制网络流量

前言

肝文不易,点个免费的赞和关注,有错误的地方请指出,看个人主页有惊喜。

作者:神的孩子都在歌唱


访问控制列表(ACL)就像路由器上的“守门人”,决定哪些数据可以通过,哪些必须拦截。它是一种用规则精确控制网络流量的方式,在企业网络、安全策略、边界防护中广泛使用。

一. ACL 的作用与类型

ACL 是一组规则,按顺序检查每一个进入或离开路由器的数据包。每条规则可基于 源地址、目的地址、协议类型、端口 等多种维度进行判断。

常见类型包括:

  • 标准 ACL:仅匹配源 IP 地址,控制较粗,编号范围为 2000~2999

  • 扩展 ACL:匹配源地址 + 目的地址 + 协议类型 + 端口号,控制更精细,编号范围为 3000~3999

二. ACL 的匹配原则

  1. 路由器自上而下逐条匹配 ACL 规则;

  2. 一旦匹配成功就停止继续查找;

  3. 如果没有任何规则匹配,默认行为是丢弃(等价于隐含一条 deny all);

  4. ACL 必须绑定到接口的方向(in/out),否则配置不生效。

三. 上手实验

网络拓扑图如下

image-20250417002805262

3.1 配置基础 IP 地址

# 进入接口 GE0/0/1,配置 IP 地址
[Huawei]int GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24
​
# 进入接口 GE0/0/0,配置 IP 地址
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
​
# 保存配置
<Huawei>save

配置完成后,外网 PC3 可正常 ping 通内网 PC1。

image-20250416234159235

3.2 通过 ACL 阻止特定 IP

目标:阻止 192.168.10.10 访问内部网络,其它 IP 放行

# 创建标准 ACL,编号 2000
[Huawei] acl 2000
​
# 拒绝源地址为 192.168.10.10 的主机
[Huawei-acl-basic-2000] rule deny source 192.168.10.10 0
​
# 放行所有其他主机
[Huawei-acl-basic-2000] rule permit source any
​
# 将 ACL 应用到 GE0/0/0 接口的出方向(出网)
[Huawei] interface GigabitEthernet0/0/0
# `traffic-filter outbound`:指定 ACL 应用方向为出方向。
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

测试结果:

  • PC3(192.168.10.10)无法访问内网;

  • 但 PC4 仍然可以正常访问。

image-20250417001545507

3.3查看 ACL 应用与规则

# 查看接口上已应用的 ACL 策略
[Huawei-GigabitEthernet0/0/0]display traffic-filter applied-record

image-20250417001725698

# 查看 ACL 2000 的规则内容
[Huawei]display acl 2000

image-20250417001815605

3.4 扩展 ACL 示例(按端口控制)

目标:只允许 192.168.1.100 访问 Web 服务(TCP 80 端口),其余全部禁止

# 创建扩展 ACL,编号 3000
[Huawei] acl 3000
​
# 允许源地址为 192.168.1.100 的主机访问任何目的地址的 TCP 80 端口(Web 服务)
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.100 0 destination any 0 destination-port eq 80
​
# 显式拒绝所有其他 IP 通信
[Huawei-acl-adv-3000] rule deny ip
​
# 应用到 GE0/0/1 接口的出方向
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

说明:

  • rule permit tcp:允许特定主机的 Web 请求;

  • destination-port eq 80:精确指定 Web 端口;

  • rule deny ip:阻断其它所有通信行为。

3.5 命名 ACL 示例

# 创建命名 ACL,名称为 BLOCK-FTP
[Huawei] acl name BLOCK-FTP
​
# 拒绝 192.168.2.0/24 网段访问
[Huawei-acl-basic-BLOCK-FTP] rule deny source 192.168.2.0 0.0.0.255
​
# 允许其余 IP
[Huawei-acl-basic-BLOCK-FTP] rule permit source any
​
# 应用到接口 G0/0/2 的入方向
[Huawei] interface G0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter name BLOCK-FTP inbound

命名 ACL 更易于后期维护与识别,推荐在复杂场景中使用。

四. 总结

访问控制列表(ACL)是网络中极其重要的安全防线。它能帮助我们:

  • 精确限制访问来源与服务;

  • 防止非法入侵;

  • 精细管理数据流量。

配置 ACL 时请牢记三要素:匹配规则顺序绑定方向测试验证。掌握好这些,网络安全防线就稳固多了!


往期相关文章:




作者:神的孩子都在歌唱 本人博客:https://blog.csdn.net/weixin_46654114 转载说明:务必注明来源,附带本人博客链接

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。