ACL三种典型写法:按源IP、按目标段、按业务端口

原创 已于 2025-07-21 23:04:36 修改 · 1.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络工程师 #华为认证 #tcp/ip #网络协议 #tcpdump #测试工具

于 2025-07-21 22:58:32 首次发布

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

ACL(访问控制列表)是交换机、路由器上最常见也最容易出锅的配置。

稍有不慎,业务断一片;写太宽,安全等于摆设;写太窄,又封死了正常访问。

那 ACL 应该怎么写?不同业务场景下,该用哪种方式来匹配?

源IP、目标段、业务端口,这三种匹配方式掌握住,日常配置基本不会翻车。

一、按源 IP 写:控制“谁”可以访问

这种写法最常见、最通用,用于控制哪些“主机”能访问某个网络或端口。

常见应用场景:

  • 允许某台运维主机远程登录交换机
  • 限制办公网内的某些IP访问服务器

语法示例:

acl number 3000
 rule 5 permit ip source 192.168.1.10 0

这里的 0 是反掩码,表示精确匹配 192.168.1.10 这一个地址。 如果要放一个网段,比如:

 rule 10 permit ip source 192.168.1.0 0.0.0.255

然后绑定到对应接口方向即可:

interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000

⚠ 注意:

  • ACL 默认不包含“拒绝所有”的行为,要拒绝需要显式写 deny
  • 华为 ACL 是匹配到即止(类似顺序判断),规则顺序很重要

二、按目标地址段写:控制“能访问哪里”

很多人只知道按源IP写,但真实场景中,按目标地址/网段来做控制的也很多。 比如有些服务器网段只能被少数人访问;有些出口只放开公网 DNS 或邮箱服务。

常见应用场景:

  • 限制内网主机只能访问特定的公网网段(如 8.8.8.8)
  • 控制某些业务只能访问某个 DMZ 区段

示例写法:

acl number 3001
 rule 5 permit ip destination 10.10.10.0 0.0.0.255

或者你想拒绝某一段地址:

 rule 10 deny ip destination 203.0.113.0 0.0.0.255
 rule 20 permit ip

这里用了destination关键词表示目标地址匹配。

⚠ 这种写法特别适合出口控制,但很多人都只会用源IP,反而容易放错、封错。

三、按业务端口写:控制“能访问什么服务”

这类写法适用于协议粒度控制,像只允许访问 DNS、Web、SSH 的场景特别常见。

常见应用场景:

  • 只允许用户访问 HTTP/HTTPS(80/443)端口
  • 禁止所有人访问某业务端口(如数据库 3306)

示例写法:

acl number 3002
 rule 5 permit tcp destination-port eq 443
 rule 10 permit tcp destination-port eq 80
 rule 20 deny ip

这个 ACL 表示:只允许访问 HTTPS 和 HTTP 端口,其它全部拒绝

你也可以加上源地址做更细粒度控制:

 rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq 22

⚠ 要记住:

  • 匹配端口时,一定要指定协议(tcp/udp)
  • eq 是“等于”,还有 range(范围)、gt/lt(大于/小于)等写法

三种 ACL 写法总结对比

最后给几个实战建议

  • ACL 不建议写太长,如果有太多条,考虑整合地址组/端口组
  • ACL 规则顺序很关键,匹配到一条就不会继续往下匹配
  • 一定要区分 in/out 方向,很多配置没效果就是因为方向反了
  • 端口控制建议用TCP/UDP配合,避免“误放所有协议”
  • ACL 搭配 NAT、QoS、VPN 使用效果更大,但配置也更复杂

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

ACL--访问控制列表
Lee_feiyue的博客
04-12 1604
      之前我们学习的静态路由和动态路由部分,都是网络中最基础的部分,需要我们熟练掌握,并能应用到实际中!今天我们来学习一个抓取流量的工具--ACL(访问控制列表)!      ACL(访问控制列表--Access Control List)是一种路由器配置和控制网络访问的一种有力的工具。适用于所有的路由协议。一、作用    1、控制路由器应该允许或拒绝数据包通过    2、监控流量    3...
路由交换基础&ACL(访问控制列表)(标准写法)✍
✍千里之行,始于足下 ^,^
12-13 3379
ACL:访问控制列表 它的作用有两个: 1、访问控制-----在路由器上流量进或出的接口上规则流量; 2、定义感兴趣流量 —为其他的策略匹配流量 (在NAT中有具体的应用) ----------访问控制:将ACL列表定义好了之后,将列表在路由器的接口上进行调用,当流量从接口上通过时,进行匹配,匹配成功后按照列表上设定好的动作进行处理。动作------允许(permit)、拒绝(deny)。 匹配的...
网络基础——ACL(访问控制列表)
wh940830165的博客
03-31 2126
ACL 是指访问控制列表(Access Control List),它用于控制网络设备或操作系统中的访问权限。ACL 可以根据规则限制或允许特定用户或网络流量访问特定资
你还不会ACL
qq_38322998的博客
04-28 412
大家一定迫不及待的想看看ACL长啥模样。话不多说,先上图! 围绕这张ACL结构图,小编为大家一一介绍ACL的基本概念。 1、ACL分类 首先,图中是一个数字型ACLACL编号为2000。这类似于人类的身份证号,用于唯一标识自己的身份。当然,人类的身份证上不仅有身份证编号,还有每个人自己的名字。ACL也同样如此,除了数字型ACL,还有一种叫做命名型的ACL,它就能拥有自己的ACL名称。 aclnamealong3998 rule0denytcpsource10.15...
配置ACL
weixin_64444995的博客
04-13 5623
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。
华三h3c系列交换机ACL实践
henu_lxz的博客
04-22 1万+
学习目标: 认识华三h3c的两种ACL:basic acl 、advancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
ACL的规则总结
weixin_30752699的博客
05-24 4059
一、ACL的使用场合:允许或禁止对路由器或来自路由器的telnet访问;QOS与队列技术;策略路由;数据速率限制;路由策略端口流镜像;NAT。二:规则总结: 1、按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出ACL) 2、每条ACL的末尾隐含一条deny any的规则 3、ACL可应用于某个具体的IP接口的出方向或入方向 4、ACL可应用于系统的某种特定的服务(如针对...
华为设备配置 |基本ACL| 对IP做配置
闫露坤
02-02 4175
实验需求:  0、确保互通  1、禁止PC1访问server  2、允许所有流量访问server 实验拓扑: 理解: ACL 是应用在路由器接口的指令列表  规则 ACL 读取第三层第  四层报文头部信息 对报文进行过滤 实验配置: [ar1]int g0/0/0 [ar1-GigabitEthernet0/0/0]ip add 192.168.100.254 24 [ar1-Gigab...
CCNA7:ACL、NAT(一对一、一对多、多对多)、端口映射、远程登录
LIHAO的博客
05-08 1万+
文章目录CCNA7:ACL访问控制列表、NAT:一、远程登录:二、ACL:访问控制列表:1、访问控制:(1)匹配规则:(2)分类:①:标准ACL:②:扩展ACL:2、定义感兴趣的流量:3、实验:二、NAT: CCNA7:ACL访问控制列表、NAT: 一、远程登录: 远程登录的思路:首先在被登录方设置一个用户名和密码,然后开启远程登录。虚拟链路0-4,一共5根虚拟链路,允许同时5人登录进来。 R2...
ACL详解 Cisco
aiwo1376301646的博客
05-25 2539
访问控制列表简称为ACL: 访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如地址,目的地址,端口目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了 访问控制列表的原理: 对路由器接口来说有两个方向: 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理 ...
路由器策略ACL配置
悦分享
07-09 7745
ACL能够匹配一个IP数据包中的IP地址、目的IP地址、协议类型、目的端口等元素的基础性工具。ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?ACL是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类。
假期第四周学习总结
干铮的博客
08-18 420
第四周学习总结 ICMP协议 ICMP的作用网络探测与回馈机制 1.网络探测 2.路由跟踪 3.错误反馈ICMP封装格式 ICMP头 数据 ICMP头:ICMP类型、代码 ICMP类型字: 8:ping请求 0:ping应答 3:目标主机不可达 11:TTL超时VLAN(Virtual LAN 虚拟局域网) 1.广播/广播域 2.广播的危害: 增加网络/终端负担,传播病毒,安全性3.如何控制广播...
ACL的配置
A1813968的博客
06-13 6944
ACL(Access Control Lists,访问控制列表)是一种基于包过滤的访问控制技术,旨在根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。通过合理地配置和应用ACL规则,可以有效地控制网络中的数据流,保护网络免受未授权访问和攻击。数字命名方式使用aclnumber+数字(0~4294967294)进行命名,而字符串命名方式则使用acl name+字母+acl类型进行命名。在ACL中,每条规则由permit(允许)或deny(拒绝)语句组成,用于指定与该规则相对应的处理动作。
基本ACL的配置
2302_80890156的博客
04-16 1319
在配置ACL(访问控制列表)时,主要目的是定义哪些用户或设备可以访问特定的网络,以及他们可以执行哪些操作。ACL通常用于路由器和交换机等网络设备上,以控制数据包流量的进出。明确目的:首先,需要明确为何要配置ACL,例如控制特定IP地址的访问、限制特定的服务(如FTP、SSH)等。了解网络结构:了解网络拓扑和设备配置,确定ACL应该如何部署以达到最佳效果。标准ACL:基于IP地址进行过滤。扩展ACL:基于IP地址、目的IP地址、协议类型、端口目的端口进行过滤。
华为路由交换学习篇-ACL
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
01-14 1438
目录 ACL访问控制列表 基本ACL 高级ACL 实验一 ACL访问控制列表 ACL的分类 按照功能来分,可以分为基本ACL、高级ACL、基于接口的ACL、二层ACL、自定义的ACL、基于MPLS的ACL、基本ACL6、高级ACL6 基本ACL 基本ACL通过IP包中的IP地址、分片标记和时间信息对IPv4报文进行分类,从而实现过滤网络流量 通常用acl-number2000-2999来创建基本ACL ACL的配置 创建基本ACL [Huawei]acl numb..
【H3C】基本ACL配置
最新发布
2401_88123749的博客
05-25 1403
2000-2999IP3000-3999IP,目地IP,协议,端口号4000-4999MAC地址。
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 6906
ACL包过滤技术
ACL(访问控制列表)
LJHandCXY的博客
07-04 1119
ACL(访问控制列表)   ACL的两大主要功能:    ·流量控制    ·匹配感兴趣流   概念:     访问控制列表(Access Control List ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包   分类: 标准 扩展ACL AppleTalk IPX 数值编号 1-99和1300~1999
访问控制列表——ACL
热门推荐
sunboy_guo的博客
05-17 3万+
1.ACL简介 当需要针对数据流量或者报文进行一些过滤的时候,需要一个抓取要过滤的工具。类似于过滤石灰粉和石子的过程,那么我们是需要一个滤网或者其他的过滤工具来进行筛选。经过筛选获取到的石子,是丢弃还是用作其他用途,并不是过滤工具来决定的,它是取决于调用工具的时候,来判断,是否需要这些石子,或者丢弃。 ACL(访问控制列表)就提供了类似于滤网的功能,它可以精准匹配到想要抓取的报文或者流量,然后在不同的场景下,去应用ACL的功能。 2.ACL的组成 AC...
Acl端口怎么配置
05-14
### 如何在访问控制列表(ACL)中配置特定端口 为了在访问控制列表(ACL)中配置特定端口,通常需要使用扩展 ACL。这是因为标准 ACL 仅能过滤 IP 地址,而无法处理更复杂的规则,比如目标端口或协议类型。扩展 ACL 支持对 IP、目标 IP、协议类型以及具体端口号的精确匹配。 以下是关于如何在 ACL 中配置特定端口的具体方法: #### 使用扩展 ACL 配置端口 扩展 ACL 提供了更多的灵活性,可以通过指定协议(如 TCP 或 UDP)、地址、目标地址以及具体的端口号来创建规则。例如,如果希望允许来自某个网的设备通过 HTTP (TCP 端口 80) 访问服务器,则可以按照以下方式设置规则[^1]。 ```python access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 10.0.0.1 eq 80 ``` 此命令表示允许 `192.168.1.0/24` 子网中的任何主机向目标地址 `10.0.0.1` 发起连接,并且该连接的目标端口必须为 `80`(即 HTTP)。其中的关键字 `eq` 表示等于给定的端口号。 对于多个端口的情况,某些厂商可能提供额外关键字用于简化操作。例如,在 Cisco 设备上可使用范围限定符 `range` 来一次性定义连续的一组端口[^4]: ```python access-list 101 permit tcp any host 10.0.0.1 range 80 443 ``` 这条语句的作用是允许任意来访问目标地址 `10.0.0.1` 上的端口 `80` 到 `443` 范围内的服务。 需要注意的是,不同的网络设备供应商可能会有不同的语法结构来进行类似的配置。以华为 eNSP 平台为例,其 ACL 的配置也遵循相似逻辑,但在实际写法上有细微差异[^3]。 #### 应用 ACL 至接口 完成 ACL 编辑之后,还需要将其绑定至对应的路由器或者交换机接口才能生效。一般情况下可以选择应用于入站 (`in`) 方向或是出站 (`out`) 方向。下面是一个简单的例子展示如何把编号为 `101` 的 ACL 施加于吉比特以太网接口 GigabitEthernet0/0 的输入方向: ```python interface GigabitEthernet0/0 ip access-group 101 in ``` 这一步骤确保只有满足 ACL 定义条件的数据包才可通过指定接口进入内部网络。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值