访问控制列表（ACL）配置详解：精确控制网络流量

前言

肝文不易，点个免费的赞和关注，有错误的地方请指出，看个人主页有惊喜。

作者：神的孩子都在歌唱

访问控制列表（ACL）就像路由器上的“守门人”，决定哪些数据可以通过，哪些必须拦截。它是一种用规则精确控制网络流量的方式，在企业网络、安全策略、边界防护中广泛使用。

一. ACL 的作用与类型

ACL 是一组规则，按顺序检查每一个进入或离开路由器的数据包。每条规则可基于 源地址、目的地址、协议类型、端口 等多种维度进行判断。

常见类型包括：

• 标准 ACL：仅匹配源 IP 地址，控制较粗，编号范围为 2000～2999。

• 扩展 ACL：匹配源地址 + 目的地址 + 协议类型 + 端口号，控制更精细，编号范围为 3000～3999。

二. ACL 的匹配原则

1. 路由器自上而下逐条匹配 ACL 规则；

2. 一旦匹配成功就停止继续查找；

3. 如果没有任何规则匹配，默认行为是丢弃（等价于隐含一条 deny all）；

4. ACL 必须绑定到接口的方向（in/out），否则配置不生效。

三. 上手实验

网络拓扑图如下

3.1 配置基础 IP 地址

# 进入接口 GE0/0/1，配置 IP 地址
[Huawei]int GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24
​
# 进入接口 GE0/0/0，配置 IP 地址
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
​
# 保存配置
<Huawei>save

配置完成后，外网 PC3 可正常 ping 通内网 PC1。

3.2 通过 ACL 阻止特定 IP

目标：阻止 192.168.10.10 访问内部网络，其它 IP 放行

# 创建标准 ACL，编号 2000
[Huawei] acl 2000
​
# 拒绝源地址为 192.168.10.10 的主机
[Huawei-acl-basic-2000] rule deny source 192.168.10.10 0
​
# 放行所有其他主机
[Huawei-acl-basic-2000] rule permit source any
​
# 将 ACL 应用到 GE0/0/0 接口的出方向（出网）
[Huawei] interface GigabitEthernet0/0/0
# `traffic-filter outbound`：指定 ACL 应用方向为出方向。
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

测试结果：

• PC3（192.168.10.10）无法访问内网；

• 但 PC4 仍然可以正常访问。

3.3查看 ACL 应用与规则

# 查看接口上已应用的 ACL 策略
[Huawei-GigabitEthernet0/0/0]display traffic-filter applied-record

# 查看 ACL 2000 的规则内容
[Huawei]display acl 2000

3.4 扩展 ACL 示例（按端口控制）

目标：只允许 192.168.1.100 访问 Web 服务（TCP 80 端口），其余全部禁止

# 创建扩展 ACL，编号 3000
[Huawei] acl 3000
​
# 允许源地址为 192.168.1.100 的主机访问任何目的地址的 TCP 80 端口（Web 服务）
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.100 0 destination any 0 destination-port eq 80
​
# 显式拒绝所有其他 IP 通信
[Huawei-acl-adv-3000] rule deny ip
​
# 应用到 GE0/0/1 接口的出方向
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

说明：

• rule permit tcp：允许特定主机的 Web 请求；

• destination-port eq 80：精确指定 Web 端口；

• rule deny ip：阻断其它所有通信行为。

3.5 命名 ACL 示例

# 创建命名 ACL，名称为 BLOCK-FTP
[Huawei] acl name BLOCK-FTP
​
# 拒绝 192.168.2.0/24 网段访问
[Huawei-acl-basic-BLOCK-FTP] rule deny source 192.168.2.0 0.0.0.255
​
# 允许其余 IP
[Huawei-acl-basic-BLOCK-FTP] rule permit source any
​
# 应用到接口 G0/0/2 的入方向
[Huawei] interface G0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter name BLOCK-FTP inbound

命名 ACL 更易于后期维护与识别，推荐在复杂场景中使用。

四. 总结

访问控制列表（ACL）是网络中极其重要的安全防线。它能帮助我们：

• 精确限制访问来源与服务；

• 防止非法入侵；

• 精细管理数据流量。

配置 ACL 时请牢记三要素：匹配规则顺序、绑定方向、测试验证。掌握好这些，网络安全防线就稳固多了！

往期相关文章：

作者：神的孩子都在歌唱 本人博客：https://blog.csdn.net/weixin_46654114 转载说明：务必注明来源，附带本人博客链接