访问控制列表（ACL）配置详解：精确控制网络流量

访问控制列表（ACL）配置详解：精确控制网络流量

访问控制列表（ACL）配置详解：精确控制网络流量

前言

肝文不易，点个免费的赞和关注，有错误的地方请指出，看个人主页有惊喜。 作者：神的孩子都在歌唱

访问控制列表（ACL）就像路由器上的“守门人”，决定哪些数据可以通过，哪些必须拦截。它是一种用规则精确控制网络流量的方式，在企业网络、安全策略、边界防护中广泛使用。

一. ACL 的作用与类型

ACL 是一组规则，按顺序检查每一个进入或离开路由器的数据包。每条规则可基于 源地址、目的地址、协议类型、端口 等多种维度进行判断。

常见类型包括：

• • 标准 ACL：仅匹配源 IP 地址，控制较粗，编号范围为 2000～2999。
• • 扩展 ACL：匹配源地址 + 目的地址 + 协议类型 + 端口号，控制更精细，编号范围为 3000～3999。

二. ACL 的匹配原则

1. 1. 路由器自上而下逐条匹配 ACL 规则；
2. 2. 一旦匹配成功就停止继续查找；
3. 3. 如果没有任何规则匹配，默认行为是丢弃（等价于隐含一条 deny all）；
4. 4. ACL 必须绑定到接口的方向（in/out），否则配置不生效。

三. 上手实验

网络拓扑图如下

image-20250417002805262

3.1 配置基础 IP 地址

代码语言：javascript代码运行次数：0运行复制

# 进入接口 GE0/0/1，配置 IP 地址
[Huawei]int GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24

# 进入接口 GE0/0/0，配置 IP 地址
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24

# 保存配置
<Huawei>save

配置完成后，外网 PC3 可正常 ping 通内网 PC1。

image-20250416234159235

3.2 通过 ACL 阻止特定 IP

目标：阻止 192.168.10.10 访问内部网络，其它 IP 放行

代码语言：javascript代码运行次数：0运行复制

# 创建标准 ACL，编号 2000
[Huawei] acl 2000

# 拒绝源地址为 192.168.10.10 的主机
[Huawei-acl-basic-2000] rule deny source 192.168.10.10 0

# 放行所有其他主机
[Huawei-acl-basic-2000] rule permit source any

# 将 ACL 应用到 GE0/0/0 接口的出方向（出网）
[Huawei] interface GigabitEthernet0/0/0
# `traffic-filter outbound`：指定 ACL 应用方向为出方向。
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

测试结果：

• • PC3（192.168.10.10）无法访问内网；
• • 但 PC4 仍然可以正常访问。

3.3查看 ACL 应用与规则

代码语言：javascript代码运行次数：0运行复制

# 查看接口上已应用的 ACL 策略
[Huawei-GigabitEthernet0/0/0]display traffic-filter applied-record

image-20250417001725698

代码语言：javascript代码运行次数：0运行复制

# 查看 ACL 2000 的规则内容
[Huawei]display acl 2000

image-20250417001815605

3.4 扩展 ACL 示例（按端口控制）

目标：只允许 192.168.1.100 访问 Web 服务（TCP 80 端口），其余全部禁止

代码语言：javascript代码运行次数：0运行复制

# 创建扩展 ACL，编号 3000
[Huawei] acl 3000

# 允许源地址为 192.168.1.100 的主机访问任何目的地址的 TCP 80 端口（Web 服务）
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.100 0 destination any 0 destination-port eq 80

# 显式拒绝所有其他 IP 通信
[Huawei-acl-adv-3000] rule deny ip

# 应用到 GE0/0/1 接口的出方向
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

说明：

• • rule permit tcp：允许特定主机的 Web 请求；
• • destination-port eq 80：精确指定 Web 端口；
• • rule deny ip：阻断其它所有通信行为。

3.5 命名 ACL 示例

代码语言：javascript代码运行次数：0运行复制

# 创建命名 ACL，名称为 BLOCK-FTP
[Huawei] acl name BLOCK-FTP

# 拒绝 192.168.2.0/24 网段访问
[Huawei-acl-basic-BLOCK-FTP] rule deny source 192.168.2.0 0.0.0.255

# 允许其余 IP
[Huawei-acl-basic-BLOCK-FTP] rule permit source any

# 应用到接口 G0/0/2 的入方向
[Huawei] interface G0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter name BLOCK-FTP inbound

命名 ACL 更易于后期维护与识别，推荐在复杂场景中使用。

四. 总结

访问控制列表（ACL）是网络中极其重要的安全防线。它能帮助我们：

• • 精确限制访问来源与服务；
• • 防止非法入侵；
• • 精细管理数据流量。

配置 ACL 时请牢记三要素：匹配规则顺序、绑定方向、测试验证。掌握好这些，网络安全防线就稳固多了！

作者：神的孩子都在歌唱 本人博客： 转载说明：务必注明来源，附带本人博客链接

本文参与 腾讯云自媒体同步曝光计划，分享自微信公众号。原始发表：2025-04-17，如有侵权请联系 cloudcommunity@tencent 删除访问控制列表acl接口配置主机