ACL三种典型写法:按源IP、按目标段、按业务端口

已于 2025-07-21 23:04:36 修改
阅读量822 收藏 8
点赞数 12
CC 4.0 BY-SA版权
文章标签: 网络 网络工程师 华为认证 tcp/ip 网络协议 tcpdump 测试工具
于 2025-07-21 22:58:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SPOTO2021/article/details/149518263

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

ACL(访问控制列表)是交换机、路由器上最常见也最容易出锅的配置。

稍有不慎,业务断一片;写太宽,安全等于摆设;写太窄,又封死了正常访问。

那 ACL 应该怎么写?不同业务场景下,该用哪种方式来匹配?

源IP、目标段、业务端口,这三种匹配方式掌握住,日常配置基本不会翻车。

一、按源 IP 写:控制“谁”可以访问

这种写法最常见、最通用,用于控制哪些“主机”能访问某个网络或端口。

常见应用场景:

  • 允许某台运维主机远程登录交换机
  • 限制办公网内的某些IP访问服务器

语法示例:

acl number 3000
 rule 5 permit ip source 192.168.1.10 0

这里的 0 是反掩码,表示精确匹配 192.168.1.10 这一个地址。 如果要放一个网段,比如:

 rule 10 permit ip source 192.168.1.0 0.0.0.255

然后绑定到对应接口方向即可:

interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000

⚠ 注意:

  • ACL 默认不包含“拒绝所有”的行为,要拒绝需要显式写 deny
  • 华为 ACL 是匹配到即止(类似顺序判断),规则顺序很重要

二、按目标地址段写:控制“能访问哪里”

很多人只知道按源IP写,但真实场景中,按目标地址/网段来做控制的也很多。 比如有些服务器网段只能被少数人访问;有些出口只放开公网 DNS 或邮箱服务。

常见应用场景:

  • 限制内网主机只能访问特定的公网网段(如 8.8.8.8)
  • 控制某些业务只能访问某个 DMZ 区段

示例写法:

acl number 3001
 rule 5 permit ip destination 10.10.10.0 0.0.0.255

或者你想拒绝某一段地址:

 rule 10 deny ip destination 203.0.113.0 0.0.0.255
 rule 20 permit ip

这里用了destination关键词表示目标地址匹配。

⚠ 这种写法特别适合出口控制,但很多人都只会用源IP,反而容易放错、封错。

三、按业务端口写:控制“能访问什么服务”

这类写法适用于协议粒度控制,像只允许访问 DNS、Web、SSH 的场景特别常见。

常见应用场景:

  • 只允许用户访问 HTTP/HTTPS(80/443)端口
  • 禁止所有人访问某业务端口(如数据库 3306)

示例写法:

acl number 3002
 rule 5 permit tcp destination-port eq 443
 rule 10 permit tcp destination-port eq 80
 rule 20 deny ip

这个 ACL 表示:只允许访问 HTTPS 和 HTTP 端口,其它全部拒绝

你也可以加上源地址做更细粒度控制:

 rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq 22

⚠ 要记住:

  • 匹配端口时,一定要指定协议(tcp/udp)
  • eq 是“等于”,还有 range(范围)、gt/lt(大于/小于)等写法

三种 ACL 写法总结对比

最后给几个实战建议

  • ACL 不建议写太长,如果有太多条,考虑整合地址组/端口组
  • ACL 规则顺序很关键,匹配到一条就不会继续往下匹配
  • 一定要区分 in/out 方向,很多配置没效果就是因为方向反了
  • 端口控制建议用TCP/UDP配合,避免“误放所有协议”
  • ACL 搭配 NAT、QoS、VPN 使用效果更大,但配置也更复杂

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

路由器策略ACL配置
悦分享
07-09 7682
ACL能够匹配一个IP数据包中的IP地址、目的IP地址、协议类型、目的端口等元素的基础性工具。ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?ACL是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类。
华为设备配置 |基本ACL| 对IP做配置
闫露坤
02-02 3978
实验需求:  0、确保互通  1、禁止PC1访问server  2、允许所有流量访问server 实验拓扑: 理解: ACL 是应用在路由器接口的指令列表  规则 ACL 读取第三层第  四层报文头部信息 对报文进行过滤 实验配置: [ar1]int g0/0/0 [ar1-GigabitEthernet0/0/0]ip add 192.168.100.254 24 [ar1-Gigab...
路由交换基础&ACL(访问控制列表)(标准写法)✍
✍千里之行,始于足下 ^,^
12-13 3336
ACL:访问控制列表 它的作用有两个: 1、访问控制-----在路由器上流量进或出的接口上规则流量; 2、定义感兴趣流量 —为其他的策略匹配流量 (在NAT中有具体的应用) ----------访问控制:将ACL列表定义好了之后,将列表在路由器的接口上进行调用,当流量从接口上通过时,进行匹配,匹配成功后按照列表上设定好的动作进行处理。动作------允许(permit)、拒绝(deny)。 匹配的...
Nat easy IP ACL
weixin_61074128的博客
12-04 631
AR2-acl-basic-2000]rule deny source 192.168.2.1 0 //设置ACL的规则为拒绝地为192.168.2.1的主机通过。[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //将ACL2000应用于这个端口上。2.单个IP地址的写法(192.168.2.1 0 ) 写一个IP地址,在后面加个0即可。[AR2]int g0/0/1 //进入路由器和内部主机连接的端口
CCNA7:ACL、NAT(一对一、一对多、多对多)、端口映射、远程登录
热门推荐
LIHAO的博客
05-08 1万+
文章目录CCNA7:ACL访问控制列表、NAT:一、远程登录:二、ACL:访问控制列表:1、访问控制:(1)匹配规则:(2)分类:①:标准ACL:②:扩展ACL:2、定义感兴趣的流量:3、实验:二、NAT: CCNA7:ACL访问控制列表、NAT: 一、远程登录: 远程登录的思路:首先在被登录方设置一个用户名和密码,然后开启远程登录。虚拟链路0-4,一共5根虚拟链路,允许同时5人登录进来。 R2...
ACL
weixin_50339735的博客
04-19 1303
ACL技术背景 ACL实现的功能:通过定义规则来允许或拒绝流量的通过 ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制的列表,路由器通过逐项读取列表中的条目来判断当前数据包是 放行还是丢弃。命中即执行,不再读取后面的列表是一个路由器数据处理数据包的行为规范手册。 ACL分类 (1)标准(基本)ACL:参数是IP地址 (2)拓展(高级)ACL:参数是IP地址、目的IP地址、端口、目的端口 (3)特殊(二层)ACL:参数是MAC地址,目的MAC地址,以太帧协议类
Redis三种集群模式:主从模式、哨兵模式和Cluster模式
09-01 3277
redis主从:可实现高并发(读),典型部署方案:一主二从redis哨兵:可实现高可用,典型部署方案:一主二从三哨兵redis集群:可同时支持高可用(读与写)、高并发,典型部署方案:三主三从。
TCP IP安全 之 ACL访问控制列表_acl icmp tcp
2401_84972627的博客
05-13 821
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
业务访问控制-ACL与包过滤
MUY0990的博客
07-15 1020
全称: Access Control List(访问控制列表)核心功能: 实现数据包识别功能,对数据包进行分类工作特点:仅对数据包进行匹配和分类不直接处理数据包,只负责识别和分类时间范围命名:使用time-range off-work定义时间名称,建议命名与实际功能相符(虽然案例中命名为"下班"但实际配置上班时间)周期性设置:periodic weekdays 09:00 to 18:00表示工作日(周一到周五)的9点到18点。
ACL详解 Cisco
aiwo1376301646的博客
05-25 2497
访问控制列表简称为ACL: 访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如地址,目的地址,端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了 访问控制列表的原理: 对路由器接口来说有两个方向: 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理 ...
世博会无法在Android上启动项目:无法连接到TCP端口5554:连接被拒绝
小妖666个人笔记
07-23 309
世博会无法在Android上启动项目:无法连接到TCP端口5554:连接被拒绝
学习小结记录
A57645467的博客
07-22 549
1、首先客户端位置是一台电脑或手机,在打开浏览器以后,比如输入http://www.zdns.cn的域名,它首先是由浏览器发起一个DNS解析请求,如果本地缓存服务器中找不到结果,则首先会向根服务器查询,根服务器里面记录的都是各个顶级域所在的服务器的位置,当向根请求http://www.zdns.cn的时候,根服务器就会返回.cn服务器的位置信息。2、递归服务器拿到.cn的权威服务器地址以后,就会寻问cn的权威服务器,知不知道http://www.zdns.cn的位置。
交换机的六种常见连接方式配置(基于华为eNSP)
-曾牛的博客
07-23 1122
本文介绍了华为eNSP中交换机的六种常见连接方式配置方法。重点包括:1)基础直连配置,要求同网主机IP;2)交换机接口配置,涉及链路类型(access/trunk/hybrid)和VLAN划分;3)主机通过交换机通信的配置流程,包括创建VLAN、配置vlanif网关和接口设置;4)不同交换机互联方案。同时详细讲解了二层/三层交换机区别、VLAN作用、子网划分、网关概念等网络基础知识,并涉及堆叠、层级结构等扩展内容。
JavaWeb-Servlet
m0_72900498的博客
07-23 602
本文摘要: 介绍了软件系统两大架构(C/S和B/S)的优缺点,B/S架构因其无需安装客户端、便于升级维护而成为主流。重点阐述了JavaWeb开发的优势,包括Java语言特性、面向对象特点和庞大的类库支持。讲解了HTTP/TCP协议层级关系,以及JavaWeb核心组件Servlet和JSP的原理。最后说明了Maven的项目管理和依赖配置功能,包括修改本地仓库路径等设置要点。文章从架构选择到具体实现,为JavaWeb开发提供了系统性的技术概述。
两台电脑连接交换机,使用其中一台电脑的网络上网(NAT转发)
最新发布
hu626626的博客
07-24 373
本文介绍了如何让Windows电脑通过交换机共享Linux电脑的无线网络上网。主要步骤包括:1)在Linux端开启IP转发功能;2)配置有线网卡IP地址;3)设置NAT转发规则将无线网络共享给有线网络;4)可选配置DHCP服务。Windows端需设置静态IP与Linux同网,并将网关指向Linux有线IP。最后提供了故障排查建议,如检查防火墙设置。该方法通过Linux作为网关实现了网络共享,适用于有线网络环境下的跨系统网络共享需求。
gRPC、Thrift与其他主流RPC框架深度对比
weixin_43680337的博客
07-21 712
选择gRPC当需要HTTP/2特性多语言环境云原生部署流式数据传输选择Thrift当已有Thrift基础设施需要极致性能(C++)自定义协议需求非HTTP环境选择Dubbo当Java技术栈为主需要完善的服务治理阿里巴巴生态体系选择JSON-RPC当快速原型开发前端直接调用简单系统集成最终选择应基于具体的技术需求、团队技能栈和长期架构规划。现代分布式系统往往会混合使用多种RPC技术,例如用gRPC处理服务间通信,同时对外提供REST/JSON-RPC接口。
Python 库手册:socket 网络通信模块
qq_41176800的博客
07-22 908
Python 的 socket 模块是构建网络通信程序的基础库之一,提供了对底层 BSD 套接字(Socket)接口的封装,使开发者能方便地构建客户端与服务器,实现 TCP、UDP 等协议的数据通信。3、Python 中使用 socket.socket() 创建一个套接字对象,指定地址簇(如 IPv4)和类型(TCP 或 UDP)。5、数据的收发通过 send() / recv()(TCP)或 sendto() / recvfrom()(UDP)完成。编码完成后,保存文件如 server_tcp.py。
在本地127.0.0.1上跨实例访问远程数据库
qq_46636081的博客
07-22 337
执行查询的时候需要带上远程链接名:[Remote203].目标数据库名。
第二十九章 W55MH32 Modbus_TCP_Server示例
WIZnet2012专栏
07-24 669
本文详细介绍了在W55MH32芯片上实现ModbusTCP协议服务器的方法。首先概述了ModbusTCP协议的特点、优势和应用场景,包括工业自动化、智能楼宇等典型应用。重点讲解了实现过程:初始化LED控制函数、主循环调用处理函数、解析接收报文等关键步骤,并提供了完整的代码示例。通过实验演示了如何使用网络调试助手发送ModbusTCP指令控制LED状态,验证了协议实现的正确性。文章为工业通信协议开发提供了实用参考,最后预告了后续将介绍HTTP服务器与NetBIOS功能的实现方案。全文约150字。
ACL的种类和编号,acl的特点,acl基本和高级的写法
03-25
<think>好的,我现在需要帮助用户了解ACL的分类、特点以及基础与高级写法。首先,用户提到了参考引用里的内容,里面提到了标准ACL、扩展ACL和命名ACL的分类,还有它们的编号范围和特点。我需要先整理这些信息,确保准确无误。 首先,标准ACL的编号是1-99,只根据IP进行过滤。扩展ACL是100-199,可以基于IP、目标IP、协议、端口等更复杂的条件。命名ACL则是用名称代替编号,可以是标准或扩展类型。这些是基本分类,我需要详细列出它们的特点和基本语法。 接下来,用户还问到了基础与高级写法。基础写法可能包括基本的ACL配置命令,比如标准ACL的创建和应用。高级用法可能涉及更复杂的配置,比如使用命名ACL、结合时间范围、日志记录等。需要分点说明,并举例具体的命令格式。 另外,用户可能对应用场景感兴趣,比如标准ACL适合放在靠近目标的位置,而扩展ACL更适合靠近的位置,这需要解释清楚。同时,注意事项如ACL的执行顺序、隐含拒绝规则等,也需要提及,避免常见错误。 在回答时,需要按照用户的要求,使用中文,数学表达式用$...$,独立公式用$$...$$,但这里可能不太涉及数学公式,所以主要关注ACL的配置命令和结构。确保引用标记正确,参考引用中的内容在适当位置标注[^1]。 最后,生成相关问题时要围绕ACL的分类、配置、优化和应用,比如如何选择ACL类型、日志功能的使用、与防火墙的区别等。确保问题有针对性,帮助用户进一步学习。 现在需要检查是否有遗漏的信息,比如ACL的隐含拒绝所有规则,或者配置时的顺序问题,这些都是关键点,必须包含在回答中。同时,基本语法和高级用法的例子要准确,符合常见的配置语法,比如Cisco的ACL命令格式。 总结来说,回答的结构应该是先分类,每个类型的特点、编号、基本语法示例,然后是高级用法,注意事项,最后相关问题。确保每个部分清晰,符合用户的要求。</think>### ACL的分类、特点及配置语法 #### 一、ACL分类与特点 根据功能和过滤条件复杂度,ACL可分为以下三类: 1. **标准ACL** - **编号范围**:$1\sim99$ - **特点**:仅基于IP地址过滤流量,适用于简单策略(如限制特定IP访问整个网络)[^1]。 - **基础语法示例**(Cisco设备): ```bash access-list 10 permit 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24网 access-list 10 deny any # 拒绝其他所有流量 ``` 2. **扩展ACL** - **编号范围**:$100\sim199$ - **特点**:支持多维度条件(IP、目标IP、协议、端口等),可精细控制流量(如限制某IP访问特定服务的端口)。 - **基础语法示例**: ```bash access-list 150 deny tcp 10.0.0.0 0.255.255.255 any eq 80 # 拒绝10.x.x.x网访问HTTP access-list 150 permit ip any any # 允许其他IP协议流量 ``` 3. **命名ACL** - **特点**:使用名称替代编号,支持标准/扩展功能,便于维护和扩展。 - **基础语法示例**: ```bash ip access-list extended WEB_FILTER deny tcp host 172.16.1.5 any eq 443 permit tcp any any ``` --- #### 二、高级用法 1. **时间范围控制** 结合`time-range`参数,实现基于时间的访问控制: ```bash time-range WORK_HOURS periodic weekdays 9:00 to 17:00 access-list 160 permit tcp any any eq 22 time-range WORK_HOURS # 仅工作时间允许SSH ``` 2. **日志记录** 通过`log`参数记录匹配ACL规则的流量: ```bash access-list 101 deny ip 192.168.2.0 0.0.0.255 any log # 记录拒绝流量日志 ``` 3. **片过滤** 使用`fragments`关键字处理分片数据包: ```bash access-list 110 deny udp any any fragments # 阻止UDP分片流量 ``` --- #### 三、注意事项 1. **隐含拒绝规则**:所有ACL默认在末尾包含`deny any`,需显式允许必要流量。 2. **执行顺序**:ACL规则按从上到下顺序匹配,应优先放置具体规则。 3. **应用位置**:标准ACL建议靠近目标设备,扩展ACL靠近以减少无效流量传输。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值