华为交换机ACL配置(基本ACL、高级ACL)

攻城狮在此2026-03-25 9:43

ACL是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

访问控制列表ACL是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源IP地址、目的IP地址、源端口、目的端口、协议类型等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

一、基本ACL配置

1.1 组网拓扑

根据网络拓扑完成所有网络设备的基础配置,确保全网设备之间能够正常互联互通;同时在路由器上配置基本ACL,通过精确配置访问规则实现流量管控,仅拒绝PC2 对 Server 的访问,其余所有网络流量均允许正常通过。

1.2 配置步骤

  1. 路由器接口IP配置。

    [Router] interface GigabitEthernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
    [Router-GigabitEthernet0/0/0] quit

  2. 创建基本ACL规则,拒绝PC2 访问 Server。

    [Router] acl 2000
    [Router-acl-basic-2000] rule deny source 192.168.1.2 0 //禁止源IP为192.168.1.2的流量通过
    [Router-acl-basic-2000] rule permit source any //允许所有源IP的流量通过
    [Router-acl-basic-2000] quit

  3. 在出口路由器接口入方向调用ACL策略。

    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] traffic-filter inbound acl 2000 //在接口入方向调用acl策略
    [Router-GigabitEthernet0/0/0] quit

  4. 验证ACL配置信息。

    查看ACL配置信息。

    [Router] display acl all

    查看指定ACL 2000配置信息。

    [Router] display acl 2000

    查看ACL资源的使用情况。

    [Router] display system tcam resource acl

二、高级ACL配置

2.1 组网拓扑

实现企业全网互联互通,同时在路由器上部署高级 ACL,限制 pC2 无法访问 Server 的 HTTP 服务,但允许其访问 Server 的其他服务及网络中其他节点,其余访问流量不做限制。

2.2 配置步骤

  1. 路由器接口IP配置。

    [Router] interface GigabitEthernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
    [Router-GigabitEthernet0/0/0] quit

  2. 创建高级ACL,禁止源192.168.1.2地址访问目的10.1.1.1地址目的80端口的TCP流量。

    [Router] acl 3000
    [Router-acl-adv-3000] rule deny tcp source 192.168.1.2 0 destination 10.1.1.1 0 destination-port eq 80
    [Router-acl-adv-3000] rule permit ip
    [Router-acl-adv-3000] quit

  3. 在路由器接口入方向调用ACL。

    [Router] interface GigabitEthernet 0/0/0
    [Router-GigabitEthernet0/0/0] traffic-filter inbound acl 3000 //入方向调用ACL策略
    [Router-GigabitEthernet0/0/0] quit

  4. 验证ACL配置信息。

    查看当前ACL配置信息。

    [Router] display acl all

    查看acl调用信息。

    [Router] display traffic-filter applied-record

    查看ACL接口出入方向调用信息。

    [Router] display traffic-applied brief

相关推荐
攻城狮在此2 小时前
企业网二层交换机与出口路由器互联配置案例
网络·华为
云和数据.ChenGuang2 小时前
鸿蒙 + ChromaDB:端侧向量检索,打造全场景智能应用新范式
华为·harmonyos·鸿蒙
缘来是黎2 小时前
腾讯高防域名
网络·安全
桌面运维家2 小时前
ARP防火墙下网络负载均衡:配置、排错与安全
网络·安全·负载均衡
zhojiew2 小时前
[INFRA] EMR集群安全配置传输中加密和Kerberos认证配置详解
安全·aws·emr·bigdata
luojiezong2 小时前
锐捷网络EDN方案正式发布 园区网络迈入“体验确定性交付“新时代
开发语言·网络·php
特立独行的猫a2 小时前
OpenHarmony海思WS63星闪平台:移植Mongoose网络库到WS63平台指南
网络·openharmony·星闪·mongoose·海思·ws63
F1FJJ2 小时前
Shield CLI v0.3.0:插件系统上线,首发 MySQL Web 管理
网络·数据库·网络协议·mysql·容器·golang
Byte不洛2 小时前
基于 C++ 手写 HTTP 服务器:从请求解析到响应构建全流程解析
linux·网络·c++·计算机网络·http
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07UV安装并设置国内源08“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南