双刃剑,这玩意配不好,一步让VLAN访问全断

ACL配置致VLAN全断真相
最新推荐文章于 2025-11-28 09:20:19 发布
原创 最新推荐文章于 2025-11-28 09:20:19 发布 · 695 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部


“刚配完ACL,整个VLAN的用户全上不了网!”

“明明只拦一个IP,结果全网瘫痪……”


访问控制列表(ACL)是咱们工作中控制流量、保障安全的利器。

但它的“威力”也意味着高风险——

一条规则写错,就可能引发全网访问中断

尤其在汇聚层或核心层部署ACL时,影响范围广,恢复不及时,可能导致业务长时间中断。

今天就通过一个真实案例,深入剖析ACL配置中的“致命陷阱”,并给到你安全配置清单,帮你避开“一条命令毁全网”的悲剧。


一、事故现场

网络环境:

  • 用户VLAN:VLAN 10(192.168.10.0/24)
  • 网关:三层交换机 S6730,接口 Vlanif 10
  • 需求:禁止IP为192.168.10.100的终端访问外网

工程师操作:

# 创建ACL 3000
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 deny ip source 192.168.10.100 0.0.0.0 destination any
[Huawei-acl-adv-3000] rule 10 permit ip source any destination any
[Huawei-acl-adv-3000] quit

# 在Vlanif 10接口入方向应用ACL
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] traffic-filter inbound acl 3000

结果:

  • ✅ 192.168.10.100 确实无法上网

  • ❌ VLAN 10内所有用户(包括192.168.10.1)都无法上网!

  • ❌ 用户之间也无法互访!

🔥 一条规则,导致整个VLAN业务中断。


二、根本原因

ACL默认隐含“deny ip any any”

这是ACL最常被忽视的默认行为

当你创建一个ACL时,系统会在最后自动添加一条隐式规则

deny ip any any

即:拒绝所有未明确允许的流量

在上述案例中,ACL逻辑看似正确:

rule 5: 拒绝 192.168.10.100 访问任何地方
rule 10: 允许任何人访问任何地方

但问题出在——
permit ip source any destination any 并不能匹配所有流量!

关键误区:ACL中的 ip 不等于“所有协议”

  • ip 类型ACL:只匹配三层IP流量,不包含:

    • ARP(二层广播,用于IP→MAC解析)

    • ICMP重定向

    • OSPF、BGP等路由协议

当ACL应用在Vlanif接口后:

  1. 用户开机 → 发送ARP请求:“谁是192.168.10.1?”

  2. ARP是二层广播帧,不属于ip协议

  3. 不匹配 rule 10(因为不是IP流量)

  4. 匹配隐式 deny ip any any → 被丢弃!

  5. 网关无法响应ARP → 用户拿不到网关MAC → 无法通信

✅ 结论
ip 类型ACL会意外拦截ARP,导致用户无法获取网关,全网中断。


三、正确配置方法

必须显式放行ARP

方案1:使用 basic ACL 并允许ARP(推荐)

# 方法一:先放行ARP,再控制IP流量
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 permit arp source-mac any destination-mac any  # 允许所有ARP
[Huawei-acl-adv-3000] rule 10 deny ip source 192.168.10.100 0.0.0.0 destination any
[Huawei-acl-adv-3000] rule 15 permit ip source any destination any
[Huawei-acl-adv-3000] quit

方案2:使用 traffic-filter 精确控制方向

# 方法二:只在出方向限制外网访问,不影响内网和ARP
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] traffic-filter outbound acl 3000  # 改为出方向

这样,ARP请求(入方向)不受影响,只拦截该IP的出站流量。


四、ACL配置安全清单(必读)


五、其他常见ACL陷阱

陷阱1:用标准ACL(2000系列)限制源IP,但无法控制目的

  • 标准ACL只能基于源IP,无法指定协议或端口

  • 应使用高级ACL(3000系列) 实现精细控制

陷阱2:ACL应用在物理接口,影响多个VLAN

  • 应优先在SVI接口(Vlanif) 或特定业务接口应用ACL

  • 避免在上行口或核心口随意部署

陷阱3:忘记删除旧ACL

  • 修改ACL后,原规则可能仍生效

  • 使用 undo traffic-filter inbound 明确移除


六、排错命令:快速定位ACL问题

# 查看接口是否应用了ACL
<Huawei> display traffic-filter applied-record

# 查看ACL匹配计数(看是否被命中)
<Huawei> display acl 3000

# 查看ARP表是否正常学习
<Huawei> display arp all | include 192.168.10

# 抓包确认ARP是否被拦截
<Huawei> capture-packet interface Vlanif 10 destination flash:/arp.pcap
# 然后用Wireshark分析


总结

ACL的强大,源于它的“精确控制”
它的危险,也源于“精确控制”

记住三条铁律:

  1. 永远记得隐式&nbsp;deny ip any any
  2. 在Vlanif接口用ACL,必须&nbsp;permit arp
  3. 先测试,再上线,配置留退路

🔚 最后忠告:
当你敲下&nbsp;traffic-filter&nbsp;命令时,
请多问自己一句:
“这条规则,会不会把网关的ARP也拦了?”
多一秒思考,少一小时抢救。


原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
华为s5700vlan划分和acl置命令.docx
09-11
详细解答华为S5700交换机VLAN划分 和 ACL置命令,非常适合新手
华为交换机VLANVLANif
09-07
华为——使用ACL限制内网主机访问外网网站示例
专研计算机网络,数据通信,网络安全,系统集成
12-26 4392
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
一条 ACL 阻断整个业务流量?这些误操作很多人都踩过
06-25 1160
ACL 是把双刃剑, 用得好,能保护网络,用得不好,一条 deny 就能把核心业务干废。结果你访问的是 IP 层的流量,却拿了 MAC ACL 去匹,当然啥都不管用。你以为是服务挂了、链路问题,其实一查置,一条 ACL 把关键流量给咔嚓了。你 ACL 好了,规则写对了,绑定也看起来做了,结果流量就是不受控。│ 忘写 permit│ 默认 deny all,直接断流 │。│ 未激活ACL │ 方向未指定或接口未启用ACL │。│ 掩码写错 │ 掩码/反掩码用错,规则失效 │。
华为三层交换机禁止VLAN间通讯(两种解决方案)
WXD优快云的博客
11-15 5600
华为三层交换机禁止VLAN间通讯(两种解决方案) ①访客不能访问内网任何终端及服务器 ②财务部门不能被其他部门访问
华为基础过滤工具ACL
cnm1131627的博客
12-12 3161
网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。在网络中占有重要地位的交换机,不可避免的成为黑客攻击的重点对象。交换机的核心在于“交换”,因此交换机安全最重要的任务就是能够正常转发数据,并保证数据在传输过程中不被截获或者篡改。1)保密性:交换机存储、处理和传输的信息,不会被泄露到非授权的用户、实体或过程。即信息只为授权用户使用。2)完整性。
ACL访问控制列表
宁悦的博客
01-16 1719
一、什么是ACL      ACL是一个有序的语句集,它通过对比报文中的字段值与访问列表参数,来允许和拒绝报文通过某个接口,这种控制可以限制网络数据流和限制某些用户对网络的使用。它最直接的作用就是包过滤,一般在路由器和三层交换机上进行网络安全属性置。 二、ACL组成     ACL由条件和操作组成。    1>条件:用来匹数据包中的字段值。    2>操作:条件匹的时候,采取允许和
文件服务器跨vlan之间访问,[转载]实现不同的VLAN访问同一个服务器
weixin_42641741的博客
08-06 2963
1台三层交换;连 1台服务器;连2台 2层交换机,每台交换机置了2个vlan (vlan10,vlan20)。不同vlan 相互之间不能通讯,要求所有2层交换机下的客户机能够访问服务器。-----------------------------------------------------------------实现不同的VLAN访问同一个服务器服务器都是192.168.1.XX划分到VLAN...
native vlan设置错误导致无法访问的问题排查过程
wj31932的博客
05-20 3119
本文介绍一次trunk口native vlan id设置错误导致无法访问的问题排查过程,设置trunk口收发数据规则,交换机mac地址缓存规则等知识和处理问题思路,欢迎大家指正。
不同vlan间相互访问
CodeNotes
05-08 2978
题目要求: 根据下图所示拓扑结构图,按要求VLAN 2、VLAN 3、VLAN4和各节点IP地址,DNS服务器,Web服务器(www.abc.com),最终要求在PC2的浏览器中输入www.abc.com,出现web server的网页内容。 步骤: 1.基本设置:添加各个元件,并设置每个元件的ip地址以及子网掩码 2.添加vlan交换机中的 Vlan Configuration中 如下图操作添加 vlan2,vlan3,vlan3 3.将各个元件与交换机的每个端口添加到各个vlan中 此时,相.
Neutron — VLAN aware VMs 与 VLAN transparent
烟云的计算
12-07 3679
目录 文章目录目录VLAN aware VMs置和使用实现原理对象模型底层支撑OvS trunk driverLinux trunk driver VLAN aware VMs VLAN aware VMs,即:VM trunk ports,让 VM 收发的 VLAN Tagged 报文,能够被 VN 所识别和处理。 VLAN aware VMs 的主要使用场景有: 有些 APP VM 需要连接多个 LANs,传统方法是给 VM 连接多个 Neutron VNs Port。但是这样做不好维护,推荐的方
Docker 学习总结(75)—— Docker 三种网络驱动 bridge、macvlan、overlay 详解
科技D人生
06-06 3305
这个网桥类似于默认网络中的 bridge,创建自定义网络命令:docker network create 参数解释:--driver bridge 表示使用桥接模式--subnet 172.19.0.0/16 表示子网 ip 可以分 172.19.0.2 到 172.19.255.255--gateway 172.19.0.1 表示网关mybridge_net 表示网络名查看 使用新创建的网络创建容器 查看 查看容器 IP macvlan 是在 宿主机 网卡上创建多个子网卡,并分独立
华为VLAN下应用ACL
qq_24328629的博客
12-31 7462
华为如何在VLAN下应用ACL
华为三层交换机vlan以及访问权限
万物皆可学
03-17 6万+
如图: 1.首先进入系统视图:system-view 进入后<>变成[ ],当然我这是在华为的ensp模拟器下,实操是需要输入账户和密码的。 2.然后创建vlan 我这里是批量创建,你也可以单个单个创建(vlan 10,vlan20,vlan30这样) 3.vlanif接口的ip地址 int vlan * 进入vlanif接口视图 vlan10网段10,vlan20网段20,...
华为S5720交换机通过ACL限制VLAN之间的访问
热门推荐
womendouhenqiang的博客
05-23 6万+
华为S5720上实际置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan通过traffic-filter调用&lt;Huawei&gt;sys[Huawei]acl 3000               //创建高级ACL(3000~3999)[Huawei-acl-adv-3000][Huawei-acl-adv-3000]rule permit ip source19...
华为交换机Vlan访问控制ACL
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
04-26 7288
设备 华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 置说明 acl 3001 #rule deny ip source 192.168.X.0 0.0.0.255 destination 192.168.X.0 0.0.0.255 /禁无线用户访问服务器 quit #traffic classifier vlanx /创建流行为 if-match acl 3001 traffic behavior
华为企业交换机ACL经典案例
NeverGUM的博客
05-15 1万+
实验目的 模拟器有三台主机PC,是PC1,PC2,PC3我们分别使用基本ACL高级ACL和二层ACL来实现一些访问控制,用户可自行体会其中的差别 实验拓补 前半段 开始前,我们首先让三台PC获取IP地址,方便后面的实验 <Huawei>system-view //进入系统视图 Enter system view, return user view with Ctrl+...
网闸的作用与功能:2025新型网闸全面介绍!
最新发布
2501_93735104的博客
11-28 746
网闸的作用与功能,简单来说,就是安全隔离+数据交换,今天我们要重点说的一种新型网闸产品,是传统网闸+文件摆渡系统的结合体,以《Ftrans网络安全隔离与信息交换系统》为典型代表,不仅包含网闸隔离、协议玻璃、数据交换等功能,还支持面向用户的跨网文件传输,有效防止敏感信息泄露,提供多种传输方式、支持多种使用场景、增强数据安全性和合规性,降低运营成本。:提供全链路API集成管控能力。可控数据交换:隔离的同时,专门开一条唯一的、能管控的安全通道,解决 “完全断开就没法干活” 的问题,保证必要数据能安全交换。
双网卡服务器跨VLAN访问策略:静态路由解决方案
在IT环境中,双网卡服务器在面临特定需求时可能会遇到问题,即当服务器需要同时连接公安网和外网,并且外网被划分为多个VLAN子网时,服务器可能无法实现对不同子网的无缝访问。这是因为服务器操作系统,如Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值