访问控制列表(ACL)配置详解:精确控制网络流量

bt365娱乐官网 2026-02-17 23:55:49 作者 admin 阅读 9650
访问控制列表(ACL)配置详解:精确控制网络流量

访问控制列表(ACL)配置详解:精确控制网络流量前言

肝文不易,点个免费的赞和关注,有错误的地方请指出,看个人主页有惊喜。

作者:神的孩子都在歌唱

访问控制列表(ACL)就像路由器上的“守门人”,决定哪些数据可以通过,哪些必须拦截。它是一种用规则精确控制网络流量的方式,在企业网络、安全策略、边界防护中广泛使用。

一. ACL 的作用与类型ACL 是一组规则,按顺序检查每一个进入或离开路由器的数据包。每条规则可基于 源地址、目的地址、协议类型、端口 等多种维度进行判断。

常见类型包括:

• 标准 ACL:仅匹配源 IP 地址,控制较粗,编号范围为 2000~2999。• 扩展 ACL:匹配源地址 + 目的地址 + 协议类型 + 端口号,控制更精细,编号范围为 3000~3999。二. ACL 的匹配原则1. 路由器自上而下逐条匹配 ACL 规则;2. 一旦匹配成功就停止继续查找;3. 如果没有任何规则匹配,默认行为是丢弃(等价于隐含一条 deny all);4. ACL 必须绑定到接口的方向(in/out),否则配置不生效。三. 上手实验网络拓扑图如下

image-202504170028052623.1 配置基础 IP 地址代码语言:javascript复制# 进入接口 GE0/0/1,配置 IP 地址

[Huawei]int GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24

# 进入接口 GE0/0/0,配置 IP 地址

[Huawei]int GigabitEthernet 0/0/0

[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24

# 保存配置

save配置完成后,外网 PC3 可正常 ping 通内网 PC1。

image-202504162341592353.2 通过 ACL 阻止特定 IP目标:阻止 192.168.10.10 访问内部网络,其它 IP 放行

代码语言:javascript复制# 创建标准 ACL,编号 2000

[Huawei] acl 2000

# 拒绝源地址为 192.168.10.10 的主机

[Huawei-acl-basic-2000] rule deny source 192.168.10.10 0

# 放行所有其他主机

[Huawei-acl-basic-2000] rule permit source any

# 将 ACL 应用到 GE0/0/0 接口的出方向(出网)

[Huawei] interface GigabitEthernet0/0/0

# `traffic-filter outbound`:指定 ACL 应用方向为出方向。

[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000测试结果:

• PC3(192.168.10.10)无法访问内网;• 但 PC4 仍然可以正常访问。3.3查看 ACL 应用与规则代码语言:javascript复制# 查看接口上已应用的 ACL 策略

[Huawei-GigabitEthernet0/0/0]display traffic-filter applied-recordimage-20250417001725698代码语言:javascript复制# 查看 ACL 2000 的规则内容

[Huawei]display acl 2000image-202504170018156053.4 扩展 ACL 示例(按端口控制)目标:只允许 192.168.1.100 访问 Web 服务(TCP 80 端口),其余全部禁止

代码语言:javascript复制# 创建扩展 ACL,编号 3000

[Huawei] acl 3000

# 允许源地址为 192.168.1.100 的主机访问任何目的地址的 TCP 80 端口(Web 服务)

[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.100 0 destination any 0 destination-port eq 80

# 显式拒绝所有其他 IP 通信

[Huawei-acl-adv-3000] rule deny ip

# 应用到 GE0/0/1 接口的出方向

[Huawei] interface GigabitEthernet0/0/1

[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000说明:

• rule permit tcp:允许特定主机的 Web 请求;• destination-port eq 80:精确指定 Web 端口;• rule deny ip:阻断其它所有通信行为。3.5 命名 ACL 示例代码语言:javascript复制# 创建命名 ACL,名称为 BLOCK-FTP

[Huawei] acl name BLOCK-FTP

# 拒绝 192.168.2.0/24 网段访问

[Huawei-acl-basic-BLOCK-FTP] rule deny source 192.168.2.0 0.0.0.255

# 允许其余 IP

[Huawei-acl-basic-BLOCK-FTP] rule permit source any

# 应用到接口 G0/0/2 的入方向

[Huawei] interface G0/0/2

[Huawei-GigabitEthernet0/0/2] traffic-filter name BLOCK-FTP inbound命名 ACL 更易于后期维护与识别,推荐在复杂场景中使用。

四. 总结访问控制列表(ACL)是网络中极其重要的安全防线。它能帮助我们:

• 精确限制访问来源与服务;• 防止非法入侵;• 精细管理数据流量。配置 ACL 时请牢记三要素:匹配规则顺序、绑定方向、测试验证。掌握好这些,网络安全防线就稳固多了!

作者:神的孩子都在歌唱

本人博客:https://blog.csdn.net/weixin_46654114

转载说明:务必注明来源,附带本人博客链接

相关阅读

精选推荐