ACL概述、ACL原理、基本ACL应用及配置

产生背景

ACL概述

ACL应用场景

实验拓扑

协议号 位于IP报文头部,是一个8位字段(取值范围0-255)。它的作用是告诉IP层之上的协议栈:"我这个IP包里面封装的是什么协议的数据?"

协议号 协议 中文名 关键特征/记忆口诀
1 ICMP 互联网控制消息协议 "万物伊始"。网络控制与诊断的基石(Ping, Traceroute)。
2 IGMP 互联网组管理协议 "紧随其后"。用于组播组成员管理(视频会议、直播)。
6 TCP 传输控制协议 "六六大顺"。可靠的、面向连接的协议(HTTP、HTTPS、SSH)。
17 UDP 用户数据报协议 "一起走吧(17)"。不可靠但高效的协议(DNS查询、视频流、语音)。
特性 基本ACL(2000-2999) 高级ACL(3000-3999)
核心匹配依据 只关注"数据从哪里来" 关注"数据从哪里来,到哪里去,干什么"
匹配条件 源IP地址、时间段 源IP、目的IP、协议类型(IP/TCP/UDP/ICMP等)、源端口、目的端口、优先级、时间段等
ACL编号范围 2000 ~ 2999 3000 ~ 3999
配置命令 rule [permit/deny] source [IP地址] rule [permit/deny] [protocol] source [IP] destination [IP] [port]
设计哲学 简单、高效、粗粒度控制 精确、灵活、细粒度控制
典型应用位置 尽量靠近目标(目的地) 尽量靠近(发起者)
配置复杂度

部署黄金法则

  1. 基本ACL部署原则尽量靠近目的地(Destination)

    • 为什么? 因为它只识别源IP。放在离源太近的地方,会过早地阻断该IP去往其他合法目的地的流量,导致"误杀"。

    • 口诀基本ACL,管谁来的,放得离目标近些。

  2. 高级ACL部署原则尽量靠近源(Source)

    • 为什么? 因为它能精确识别"源-目的-服务"。在流量发出的地方就进行过滤,可以将非法流量尽早丢弃,避免其占用网络带宽和核心设备资源。

    • 口诀高级ACL,管得精细,放得离源头近些。

查看acl

查看acl匹配的报文

ACL匹配规则


ACL的本质

首先,你必须建立一个核心认知:ACL(访问控制列表)本身只是一张写好规则的"过滤清单"。它自己不会做任何事,就像一个写了名单的册子。

关键 :这份"过滤清单"可以被网络设备里不同的功能模块 拿去使用。不同的模块,对清单里"允许/拒绝"的理解完全不同! 这就是你所有困惑的根源。

下图清晰地展示了ACL在华为网络设备中的核心应用场景及其本质差异:

分场景详解(为什么行为不同)

场景一:ACL + Traffic-Filter(流量过滤)------ "安全门卫"

  • 目的:纯粹为了安全,阻止非法访问。

  • 逻辑白名单思维。只放行明确允许的,其他一律拦截。这是最严格的模式。

  • 配置与结果

bash 复制代码
# 1. 定义ACL:只允许访问Web服务
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule permit tcp destination-port eq 80

# 2. 调用ACL做流量过滤
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000

# 结果:
# - HTTP流量(端口80) → 匹配规则 → permit → **允许通过**
# - 其他所有流量(如Ping, SSH) → 无规则匹配 → **匹配隐含规则 → deny → 拒绝丢弃**

场景二:ACL + NAT(网络地址转换)------ "翻译官"

  • 目的:控制哪些内网IP可以转换成公网IP上网。

  • 逻辑任务清单思维。只对匹配的流量执行"翻译"(NAT)任务。不匹配的,不归我管,可能由其他NAT规则处理或直接路由。

  • 配置与结果

bash 复制代码
# 1. 定义ACL:指定哪些内部地址可以转换
[Huawei] acl 2000
[Huawei-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

# 2. 调用ACL做NAT
[Huawei] interface GigabitEthernet 0/0/0  # 出接口
[Huawei-GigabitEthernet0/0/0] nat outbound 2000

# 结果:
# - 来自192.168.1.0/24的流量 → 匹配规则 → permit → **执行NAT转换**
# - 来自其他网段(如192.168.2.100)的流量 → 无规则匹配 → **不执行NAT,直接转发**
#   (如果路由可达,它可能用其他方式出去;如果不可达,则丢弃。但这与NAT模块无关)。

场景三:ACL + 策略路由 / 路由策略 ------ "向导"或"人事经理"

  • 目的:操控流量路径或路由信息,不关心安全。

  • 逻辑服务窗口思维。只处理名单内的业务,名单外的去隔壁(下一个节点或默认路由)处理。

  • 配置示例(策略路由)

bash 复制代码
# 1. 定义ACL:匹配需要走专线的流量(如访问Server 10.1.1.1)
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule permit ip destination 10.1.1.1 0

# 2. 定义流分类和行为,关联ACL
[Huawei] traffic classifier VIP
[Huawei-classifier-VIP] if-match acl 3001
[Huawei] traffic behavior REDIRECT
[Huawei-behavior-REDIRECT] redirect ip-nexthop 202.100.1.1
[Huawei] traffic policy VIP-POLICY
[Huawei-policy-VIP-POLICY] classifier VIP behavior REDIRECT

# 3. 应用策略
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-policy VIP-POLICY inbound

# 结果:
# - 去往10.1.1.1的流量 → 匹配ACL → 被重定向到202.100.1.1
# - 其他所有流量(如上网) → 无规则匹配 → **走接口默认路由**,不受影响。

实验文档

通过网盘分享的文件:day02

链接: https://pan.baidu.com/s/1Qn4iy1peVUorfGnhTaBsVQ?pwd=6czq 提取码: 6czq

--来自百度网盘超级会员v6的分享

相关推荐
sdghterhd4 小时前
WebSocket 快速入门教程(附示例源码)
网络·websocket·网络协议
xy34535 小时前
Wireshark捕获过滤器——语法元素详解
网络·测试工具·渗透测试·wireshark
DLYSB_5 小时前
生命通道:如何用 HIS 医疗系统直连网络声光终端,打造“零延误”的危急值响应网关?
java·网络·数据库·报警灯
德福危险6 小时前
富有想象力的XSS盲打:靶机练习之Tempus_fugit5
服务器·网络·xss
哥是强混8 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
Piko6149 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
2301_780303909 小时前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
IpdataCloud10 小时前
AI生成的Avalon恶意框架怎么防?用IP离线库识别模块化C2通信
运维·人工智能·网络协议·tcp/ip·ip
学逆向的10 小时前
汇编——内存
开发语言·汇编·算法·网络安全
爱研究的小梁10 小时前
乾元通多链路聚合通信主流落地应用案例
网络·信息与通信