华为交换机上配置基于 IP 地址的 ACL

华为交换机上配置基于 IP 地址的 ACL（访问控制列表）以过滤特定 IP 数据包的详细步骤，包含 ** 基本 ACL（仅过滤源 IP）和高级 ACL（可过滤源 / 目的 IP、端口等）** 两种场景的配置方法：

一、ACL 基础概念

• 基本 ACL ：编号范围2000-2999，仅基于源 IP 地址过滤流量。
• 高级 ACL ：编号范围3000-3999，可基于源 IP、目的 IP、协议、端口等多条件组合过滤流量，更灵活。

二、配置步骤（以过滤特定源 IP 为例）

场景 1：过滤源 IP 为192.168.1.10的所有流量

1. 创建基本 ACL 并定义规则

shell

[Switch] acl 2000                  # 创建基本ACL，编号2000
[Switch-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0  # 拒绝源IP为192.168.1.10的流量
[Switch-acl-basic-2000] rule permit source any            # 允许其他所有流量（ACL默认隐含"拒绝所有"，需显式允许其他流量）
[Switch-acl-basic-2000] quit

2. 在接口上应用 ACL（指定方向）

假设需在接口GigabitEthernet 0/0/1的入方向（进入交换机的流量）应用此 ACL：

shell

[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] traffic-filter inbound acl 2000  # 入方向应用ACL 2000
[Switch-GigabitEthernet0/0/1] quit

场景 2：过滤源 IP192.168.1.0/24访问目的 IP10.0.0.1的流量（高级 ACL）

1. 创建高级 ACL 并定义规则

shell

[Switch] acl 3000                  # 创建高级ACL，编号3000
[Switch-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 10.0.0.1 0.0.0.0  # 拒绝指定源-目的IP的IP流量
[Switch-acl-adv-3000] rule permit ip source any destination any  # 允许其他所有IP流量
[Switch-acl-adv-3000] quit

2. 在接口上应用 ACL

在接口GigabitEthernet 0/0/2的出方向（从交换机发出的流量）应用：

shell

[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] traffic-filter outbound acl 3000  # 出方向应用ACL 3000
[Switch-GigabitEthernet0/0/2] quit

三、验证与注意事项

1. 验证 ACL 配置：

   shell

   [Switch] display acl 2000  # 查看基本ACL 2000的规则
   [Switch] display acl 3000  # 查看高级ACL 3000的规则
   [Switch] display traffic-filter interface GigabitEthernet 0/0/1  # 查看接口上的ACL应用情况

2. 注意事项：

   • ACL 规则按配置顺序匹配 ，建议将 "精确规则" 放在前面，"宽松规则"（如permit any）放在最后。
   • 接口应用 ACL 时需明确方向 （inbound/outbound）：
     • inbound：过滤进入接口的流量；
     • outbound：过滤从接口发出的流量。
   • 若需过滤特定协议（如 TCP、UDP）或端口，需使用高级 ACL 并在规则中指定协议和端口（如rule deny tcp source ... destination-port eq 80）。