ACL技术介绍

目录

一、前言

[二、ACL 核心基础概念](#二、ACL 核心基础概念)

[2.1 ACL 定义](#2.1 ACL 定义)

[2.2 ACL 三大核心应用场景](#2.2 ACL 三大核心应用场景)

[三、基于 ACL 的包过滤技术](#三、基于 ACL 的包过滤技术)

[3.1 包过滤两大方向（重中之重）](#3.1 包过滤两大方向（重中之重）)

[3.2 包过滤完整工作流程](#3.2 包过滤完整工作流程)

华三设备默认动作特性（易混淆考点）

配置配套原则

[3.3 两大黄金配置原则（实战必看）](#3.3 两大黄金配置原则（实战必看）)

[四、华三 ACL 分类及区别](#四、华三 ACL 分类及区别)

[4.1 基本 ACL（编号：2000 ~ 2999）](#4.1 基本 ACL（编号：2000 ~ 2999）)

[4.2 高级 ACL（编号：3000 ~ 3999）](#4.2 高级 ACL（编号：3000 ~ 3999）)

[4.3 二层 ACL（编号：4000 ~ 4999）](#4.3 二层 ACL（编号：4000 ~ 4999）)

补充：通配符掩码（反掩码）

[五、H3C ACL 基础命令大全](#五、H3C ACL 基础命令大全)

[5.1 基本 ACL 配置命令](#5.1 基本 ACL 配置命令)

[5.2 高级 ACL 配置命令](#5.2 高级 ACL 配置命令)

[5.3 辅助常用命令](#5.3 辅助常用命令)

---

一、前言

在企业网络运维、H3CNE 认证学习中，ACL（访问控制列表） 是最基础也最常用的安全技术之一。很多新手容易混淆：ACL 到底能不能直接阻断流量？包过滤和 ACL 是什么关系？基本 ACL 和高级 ACL 该怎么选、部署在哪个接口哪个方向？

本文结合华三（H3C）设备特性，从原理定义、功能分类、工作流程、配置规范、综合实验全维度讲解 ACL + 包过滤技术，同时梳理易错点、配置原则与实战踩坑经验，适合网络初学者、备考 H3CNE 以及日常网络配置参考。

二、ACL 核心基础概念

2.1 ACL 定义

ACL 全称 Access Control List（访问控制列表） ，本质是流量匹配筛选工具，核心特点总结：

1. 只做识别，不做动作：ACL 本身不会对数据包执行放行 / 丢弃操作，仅根据规则识别出特征流量（源 IP、目的 IP、端口、协议等）。
2. 名称误区 ：名为 "访问控制"，但无法单独实现流量拦截，必须搭配包过滤（Packet-filter）、路由策略、QoS 等模块才能生效。
3. 匹配依据：支持基于五元组做精细化流量识别，是网络各类策略的 "前置筛选器"。

2.2 ACL 三大核心应用场景

ACL 作为通用匹配工具，不同搭配实现不同功能，也是考试和实战高频考点：

表格

技术组合	实现功能	应用场景
ACL + 包过滤（Packet-filter）	三层流量放行 / 阻断，实现网络隔离	部门网段隔离、外网访问限制、服务端口管控
ACL + 路由策略（Route-policy）	过滤路由条目，控制路由发布与接收	路由路由、路由汇总、路由权限管控
ACL + QoS	流量分类、带宽限制、优先级调度	关键业务限流、视频 / 下载流量限速

核心结论：ACL 负责 "挑流量"，配套策略负责 "做处理"。

三、基于 ACL 的包过滤技术

包过滤是 ACL 最主流的用法，也是本文重点。简单理解：将 ACL 规则绑定在路由器接口的指定方向，对进出接口的数据包逐包检查，完成允许 / 拒绝操作。

3.1 包过滤两大方向（重中之重）

包过滤必须绑定接口 + 方向 才能生效，一个接口的同一个方向仅能应用一个 ACL 策略。

1. 入方向 Inbound 过滤从外部进入设备的数据包。流量刚进入接口就做检测，推荐优先使用。
2. 出方向 Outbound 过滤从设备内部向外转发的数据包。数据包经过路由转发后再检测，会额外消耗设备资源。

记忆口诀：近端入，远端出 举例：禁止 192.168.1.0/24 访问 192.168.2.0/24

• 最优方案：在 1.0 网段直连接口的入方向 配置（就近拦截，节省资源）；
• 备选方案：在 2.0 网段直连接口的出方向 配置。

3.2 包过滤完整工作流程

无论入方向、出方向，匹配逻辑完全一致：

1. 数据包到达接口，首先检查该方向是否配置 ACL 包过滤；未配置则直接放行。
2. 若已配置，按照 ACL 规则编号从小到大逐条匹配。
3. 匹配到某一条规则，立即执行对应动作（permit 放行 / deny 丢弃），不再匹配后续规则。
4. 所有规则都未命中，执行默认动作。

华三设备默认动作特性（易混淆考点）

• ACL 用于包过滤 ：默认动作 permit（允许所有流量）；
• ACL 用于路由策略、QoS ：默认动作 deny（拒绝所有流量）。

配置配套原则

1. 默认动作为 permit：必须手动配置至少一条 deny 规则，否则 ACL 无意义；
2. 默认动作为 deny：必须手动配置至少一条 permit 规则，否则所有流量都会被阻断。

3.3 两大黄金配置原则（实战必看）

1. 规则顺序原则 小范围、精准规则 靠前，大范围规则靠后。 原因：ACL 匹配到第一条规则就终止，大范围规则在前会直接覆盖精细规则，导致策略失效。

2. 部署位置原则 优先将 ACL 配置在离源地址最近的接口入方向。 原因：流量在源头就被拦截，避免数据包完成路由查表、转发后再被丢弃，减少设备性能损耗。

四、华三 ACL 分类及区别

H3C 设备常用 ACL 分为基本 ACL、高级 ACL、二层 ACL，日常运维 90% 场景只用前两种，编号范围、匹配规则、使用场景差异极大。

4.1 基本 ACL（编号：2000 ~ 2999）

1. 匹配范围 ：仅检查源 IP 地址，不识别目的 IP、端口、协议。
2. 特点：配置简单，但容易 "误伤" 正常流量（一刀切）。
3. 适用场景：大范围网段整体隔离，例如禁止整个网段访问外网、部门间整体断联。
4. 部署注意 ：由于只匹配源 IP，为避免误伤，建议部署在靠近目的端的出方向。

4.2 高级 ACL（编号：3000 ~ 3999）

1. 匹配范围 ：完整匹配五元组：源 IP、目的 IP、源端口、目的端口、传输层协议（TCP/UDP/IP）。
2. 特点：精准控制，可基于 IP + 端口 + 协议做精细化管控，不会误伤流量。
3. 适用场景：服务级访问控制（如禁止 FTP、仅开放 Telnet）、精准 IP 互访限制。
4. 部署注意 ：支持就近部署，优先放在源端接口入方向。

4.3 二层 ACL（编号：4000 ~ 4999）

基于 MAC 地址 做流量过滤，工作在二层，日常三层网络场景使用极少，本文不做重点讲解。

补充：通配符掩码（反掩码）

ACL 规则中搭配 wildcard-mask（通配符掩码）：

• 掩码位为 0：对应 IP 位必须严格匹配；
• 掩码位为 1：对应 IP 位忽略，不做检查。

示例：192.168.1.0 0.0.0.255 = 匹配整个 192.168.1.0/24 网段。

五、H3C ACL 基础命令大全

5.1 基本 ACL 配置命令

# 1. 创建基本ACL，进入ACL视图（2000-2999）
[H3C] acl basic 2000

# 2. 配置规则：拒绝指定源网段流量，自动编号（步长5：0、5、10...）
[H3C-acl-ipv4-basic-2000] rule deny source 192.168.1.0 0.0.0.255

# 手动指定规则编号（推荐，方便后续插入规则）
[H3C-acl-ipv4-basic-2000] rule 10 deny source 192.168.1.0 0.0.0.255

# 3. 进入接口，绑定包过滤（出方向为例）
[H3C] interface GigabitEthernet 0/2
[H3C-GigabitEthernet0/2] packet-filter 2000 outbound

# 4. 查看ACL配置
[H3C] display acl 2000
# 查看接口包过滤应用情况
[H3C] display packet-filter

5.2 高级 ACL 配置命令

# 1. 创建高级ACL（3000-3999）
[H3C] acl advanced 3000

# 2. 规则示例：拒绝PC1(192.168.1.1) 访问服务器FTP(TCP 20-21)
[H3C-acl-ipv4-advanced-3000] rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21

# 拒绝PC2(192.168.1.2) 访问服务器Telnet(TCP 23)
[H3C-acl-ipv4-advanced-3000] rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 23

# 拒绝整个2.0网段所有协议访问服务器
[H3C-acl-ipv4-advanced-3000] rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0

# 3. 接口入方向绑定高级ACL
[H3C] interface GigabitEthernet 0/1
[H3C-GigabitEthernet0/1] packet-filter 3000 inbound

5.3 辅助常用命令

# 修改包过滤全局默认动作为拒绝（默认permit）
[H3C] packet-filter default deny

# 查看当前设备所有ACL
[H3C] display acl all

端口匹配关键字说明

• eq 端口号：等于指定端口（如 eq 23 = Telnet）
• range 起始 结束：端口范围（如 range 20 21 = FTP）
• 常用服务端口：Telnet (23/TCP)、FTP (20/21/TCP)、HTTP (80/TCP)