本篇目录
ACL的作用
基本ACL类型
ACL配置命令
ACL规则参数说明
Telnet/SSH的ACL配置示例
ACL查看和管理
多级别访问控制
ACL配置注意事项
ACL不生效的检查步骤
ACL(Access Control List,访问控制列表)是网络设备中用于控制数据包转发的安全策略工具。
ACL的作用
- 流量过滤:控制哪些数据包可以通过设备
- 安全控制:限制网络访问权限,只允许特定IP登录
- 流量识别:为QoS、NAT等服务提供流量分类
基本ACL类型
| ACL类型 | 编号范围 | 匹配依据 | 适用场景 |
|---|---|---|---|
| 基本ACL | 2000-2999 | 源IP地址 | 简单的源IP控制 |
| 高级ACL | 3000-3999 | 源/目的IP、协议、端口 | 精细化的流量控制 |
ACL配置命令
# 创建基本ACL 2000
[H3C] acl number 2000# 进入ACL规则配置视图
[H3C-acl-basic-2000]# 允许特定IP地址
[H3C-acl-basic-2000] rule permit source 192.168.1.100 0# 允许IP网段
[H3C-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255# 拒绝其他所有IP(隐式拒绝规则)
[H3C-acl-basic-2000] rule deny source any
ACL规则参数说明
rule [permit|deny] source [IP地址] [通配符掩码]# 示例说明:
rule permit source 192.168.1.100 0 # 只允许192.168.1.100
rule permit source 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24网段
rule deny source any # 拒绝所有其他IP
Telnet/SSH的ACL配置示例
# 场景1:只允许管理网段192.168.10.0/24访问
# 1. 创建ACL
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255
[H3C-acl-basic-2000] rule deny source any
[H3C-acl-basic-2000] quit# 2. 应用到VTY线路
[H3C] user-interface vty 0 63
[H3C-line-vty0-63] acl 2000 inbound # 应用ACL到入方向
[H3C-line-vty0-63] quit# 场景2:只允许特定管理机访问
# 只允许192.168.1.100和192.168.1.101登录
[H3C] acl number 2001
[H3C-acl-basic-2001] rule permit source 192.168.1.100 0
[H3C-acl-basic-2001] rule permit source 192.168.1.101 0
[H3C-acl-basic-2001] rule deny source any
[H3C-acl-basic-2001] quit[H3C] user-interface vty 0 63
[H3C-line-vty0-63] acl 2001 inbound# 场景3:高级ACL配置
# 创建高级ACL 3000
[H3C] acl number 3000# 只允许SSH访问,拒绝Telnet(更安全)
[H3C-acl-adv-3000] rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ssh
[H3C-acl-adv-3000] rule deny tcp source any destination-port eq telnet
[H3C-acl-adv-3000] rule deny tcp source any destination-port eq 22
[H3C-acl-adv-3000] quit
ACL查看和管理命令
# 查看所有ACL配置
<H3C> display acl all# 查看特定ACL的规则
<H3C> display acl 2000# 查看ACL应用情况
<H3C> display packet-filter# 查看接口的ACL应用
<H3C> display interface GigabitEthernet 0/0# 查看ACL匹配统计(了解流量情况)
<H3C> display acl 2000 statistics
多级别访问控制
# 不同VTY线路应用不同ACL
[H3C] user-interface vty 0 4 # 普通操作员线路
[H3C-line-vty0-4] acl 2001 inbound # 只能从办公网访问[H3C] user-interface vty 5 15 # 管理员线路
[H3C-line-vty5-15] acl 2002 inbound # 可以从管理网段访问
ACL配置注意事项
先写允许规则,最后拒绝,ACL按规则序号从小到大匹配,配置后及时测试效
# 错误:忘记最后的deny any规则
rule permit source 192.168.1.100 0
# 缺少:rule deny source any → 其他IP默认允许# 错误:规则顺序不当
rule deny source any
rule permit source 192.168.1.100 0 # 这条规则永远不会匹配到
ACL不生效的检查步骤
# 1. 检查ACL规则
display acl 2000# 2. 检查ACL应用情况
display user-interface vty 0# 3. 检查匹配统计(看是否有命中)
display acl 2000 statistics# 4. 检查源IP是否在允许范围内
ping 192.168.1.100 # 测试连通性
