訪問控制列表(ACL)配置詳解:精確控制網(wǎng)絡流量
作者:神的孩子都在歌唱
ACL 是一組規(guī)則,按順序檢查每一個進入或離開路由器的數(shù)據(jù)包。每條規(guī)則可基于 源地址、目的地址、協(xié)議類型、端口 等多種維度進行判斷。
訪問控制列表(ACL)就像路由器上的“守門人”,決定哪些數(shù)據(jù)可以通過,哪些必須攔截。它是一種用規(guī)則精確控制網(wǎng)絡流量的方式,在企業(yè)網(wǎng)絡、安全策略、邊界防護中廣泛使用。
一、ACL 的作用與類型
ACL 是一組規(guī)則,按順序檢查每一個進入或離開路由器的數(shù)據(jù)包。每條規(guī)則可基于 源地址、目的地址、協(xié)議類型、端口 等多種維度進行判斷。
常見類型包括:
標準 ACL:僅匹配源 IP 地址,控制較粗,編號范圍為 2000~2999。
擴展 ACL:匹配源地址 + 目的地址 + 協(xié)議類型 + 端口號,控制更精細,編號范圍為 3000~3999。
二、ACL 的匹配原則
- 路由器自上而下逐條匹配 ACL 規(guī)則;
- 一旦匹配成功就停止繼續(xù)查找;
- 如果沒有任何規(guī)則匹配,默認行為是丟棄(等價于隱含一條 deny all);
- ACL 必須綁定到接口的方向(in/out),否則配置不生效。
三、上手實驗
網(wǎng)絡拓撲圖如下:
1. 配置基礎 IP 地址
# 進入接口 GE0/0/1,配置 IP 地址
[Huawei]int GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24
# 進入接口 GE0/0/0,配置 IP 地址
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
# 保存配置
<Huawei>save配置完成后,外網(wǎng) PC3 可正常 ping 通內網(wǎng) PC1。
2. 通過 ACL 阻止特定 IP
目標:阻止 192.168.10.10 訪問內部網(wǎng)絡,其它 IP 放行
# 創(chuàng)建標準 ACL,編號 2000
[Huawei] acl 2000
# 拒絕源地址為 192.168.10.10 的主機
[Huawei-acl-basic-2000] rule deny source 192.168.10.10 0
# 放行所有其他主機
[Huawei-acl-basic-2000] rule permit source any
# 將 ACL 應用到 GE0/0/0 接口的出方向(出網(wǎng))
[Huawei] interface GigabitEthernet0/0/0
# `traffic-filter outbound`:指定 ACL 應用方向為出方向。
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000測試結果:
- PC3(192.168.10.10)無法訪問內網(wǎng);
- 但 PC4 仍然可以正常訪問。
3. 查看 ACL 應用與規(guī)則
# 查看接口上已應用的 ACL 策略
[Huawei-GigabitEthernet0/0/0]display traffic-filter applied-record
# 查看 ACL 2000 的規(guī)則內容
[Huawei]display acl 2000
4. 擴展 ACL 示例(按端口控制)
目標:只允許 192.168.1.100 訪問 Web 服務(TCP 80 端口),其余全部禁止
# 創(chuàng)建擴展 ACL,編號 3000
[Huawei] acl 3000
# 允許源地址為 192.168.1.100 的主機訪問任何目的地址的 TCP 80 端口(Web 服務)
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.100 0 destination any 0 destination-port eq 80
# 顯式拒絕所有其他 IP 通信
[Huawei-acl-adv-3000] rule deny ip
# 應用到 GE0/0/1 接口的出方向
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000說明:
- rule permit tcp:允許特定主機的 Web 請求;
- destination-port eq 80:精確指定 Web 端口;
- rule deny ip:阻斷其它所有通信行為。
5. 命名 ACL 示例
# 創(chuàng)建命名 ACL,名稱為 BLOCK-FTP
[Huawei] acl name BLOCK-FTP
# 拒絕 192.168.2.0/24 網(wǎng)段訪問
[Huawei-acl-basic-BLOCK-FTP] rule deny source 192.168.2.0 0.0.0.255
# 允許其余 IP
[Huawei-acl-basic-BLOCK-FTP] rule permit source any
# 應用到接口 G0/0/2 的入方向
[Huawei] interface G0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter name BLOCK-FTP inbound命名 ACL 更易于后期維護與識別,推薦在復雜場景中使用。
四、總結
訪問控制列表(ACL)是網(wǎng)絡中極其重要的安全防線。它能幫助我們:
- 精確限制訪問來源與服務;
- 防止非法入侵;
- 精細管理數(shù)據(jù)流量。
配置 ACL 時請牢記三要素:匹配規(guī)則順序、綁定方向、測試驗證。掌握好這些,網(wǎng)絡安全防線就穩(wěn)固多了!
責任編輯:趙寧寧
來源:
神的孩子都在歌唱
