华为交换机上配置基于 IP 地址的 ACL(访问控制列表)以过滤特定 IP 数据包的详细步骤,包含 ** 基本 ACL(仅过滤源 IP)和高级 ACL(可过滤源 / 目的 IP、端口等)** 两种场景的配置方法:
一、ACL 基础概念
- 基本 ACL :编号范围
2000-2999,仅基于源 IP 地址过滤流量。 - 高级 ACL :编号范围
3000-3999,可基于源 IP、目的 IP、协议、端口等多条件组合过滤流量,更灵活。
二、配置步骤(以过滤特定源 IP 为例)
场景 1:过滤源 IP 为192.168.1.10的所有流量
1. 创建基本 ACL 并定义规则
shell
[Switch] acl 2000 # 创建基本ACL,编号2000
[Switch-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0 # 拒绝源IP为192.168.1.10的流量
[Switch-acl-basic-2000] rule permit source any # 允许其他所有流量(ACL默认隐含"拒绝所有",需显式允许其他流量)
[Switch-acl-basic-2000] quit2. 在接口上应用 ACL(指定方向)
假设需在接口GigabitEthernet 0/0/1的入方向(进入交换机的流量)应用此 ACL:
shell
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 # 入方向应用ACL 2000
[Switch-GigabitEthernet0/0/1] quit场景 2:过滤源 IP192.168.1.0/24访问目的 IP10.0.0.1的流量(高级 ACL)
1. 创建高级 ACL 并定义规则
shell
[Switch] acl 3000 # 创建高级ACL,编号3000
[Switch-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 10.0.0.1 0.0.0.0 # 拒绝指定源-目的IP的IP流量
[Switch-acl-adv-3000] rule permit ip source any destination any # 允许其他所有IP流量
[Switch-acl-adv-3000] quit2. 在接口上应用 ACL
在接口GigabitEthernet 0/0/2的出方向(从交换机发出的流量)应用:
shell
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] traffic-filter outbound acl 3000 # 出方向应用ACL 3000
[Switch-GigabitEthernet0/0/2] quit三、验证与注意事项
-
验证 ACL 配置:
shell
[Switch] display acl 2000 # 查看基本ACL 2000的规则 [Switch] display acl 3000 # 查看高级ACL 3000的规则 [Switch] display traffic-filter interface GigabitEthernet 0/0/1 # 查看接口上的ACL应用情况 -
注意事项:
- ACL 规则按配置顺序匹配 ,建议将 "精确规则" 放在前面,"宽松规则"(如
permit any)放在最后。 - 接口应用 ACL 时需明确方向 (
inbound/outbound):inbound:过滤进入接口的流量;outbound:过滤从接口发出的流量。
- 若需过滤特定协议(如 TCP、UDP)或端口,需使用高级 ACL 并在规则中指定协议和端口(如
rule deny tcp source ... destination-port eq 80)。
- ACL 规则按配置顺序匹配 ,建议将 "精确规则" 放在前面,"宽松规则"(如