访问控制列表（ACL）配置详解：精确控制网络流量

wangpeibao

2025-10-10

系统运维

访问控制列表（ACL）就像路由器上的“守门人”，决定哪些数据可以通过，哪些必须拦截。它是一种用规则精确控制网络流量的方式，在企业网络、安全策略、边界防护中广泛使用。

一、ACL 的作用与类型

ACL 是一组规则，按顺序检查每一个进入或离开路由器的数据包。每条规则可基于源地址、目的地址、协议类型、端口等多种维度进行判断。

常见类型包括：

标准 ACL：仅匹配源 IP 地址，控制较粗，编号范围为 2000～2999。

扩展 ACL：匹配源地址 + 目的地址 + 协议类型 + 端口号，控制更精细，编号范围为 3000～3999。

二、ACL 的匹配原则

路由器自上而下逐条匹配 ACL 规则；一旦匹配成功就停止继续查找；如果没有任何规则匹配，默认行为是丢弃（等价于隐含一条 deny all）；ACL 必须绑定到接口的方向（in/out），否则配置不生效。

三、上手实验

网络拓扑图如下：

1. 配置基础 IP 地址

复制

# 进入接口 GE0/0/1，配置 IP 地址 [Huawei]int GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24 # 进入接口 GE0/0/0，配置 IP 地址 [Huawei]int GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24 # 保存配置 <Huawei>save1.2.3.4.5.6.7.8.9.10.

配置完成后，外网 PC3 可正常 ping 通内网 PC1。

2. 通过 ACL 阻止特定 IP

目标：阻止 192.168.10.10 访问内部网络，其它 IP 放行

复制

# 创建标准 ACL，编号 2000 [Huawei] acl 2000 # 拒绝源地址为 192.168.10.10 的主机 [Huawei-acl-basic-2000] rule deny source 192.168.10.10 0 # 放行所有其他主机 [Huawei-acl-basic-2000] rule permit source any # 将 ACL 应用到 GE0/0/0 接口的出方向（出网） [Huawei] interface GigabitEthernet0/0/0 # `traffic-filter outbound`：指定 ACL 应用方向为出方向。 [Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 20001.2.3.4.5.6.7.8.9.10.11.12.13.

测试结果：

PC3（192.168.10.10）无法访问内网；但 PC4 仍然可以正常访问。

3. 查看 ACL 应用与规则

复制

# 查看接口上已应用的 ACL 策略 [Huawei-GigabitEthernet0/0/0]display traffic-filter applied-record1.2.

复制

# 查看 ACL 2000 的规则内容 [Huawei]display acl 20001.2.

4. 扩展 ACL 示例（按端口控制）

目标：只允许 192.168.1.100 访问 Web 服务（TCP 80 端口），其余全部禁止

复制

# 创建扩展 ACL，编号 3000 [Huawei] acl 3000 # 允许源地址为 192.168.1.100 的主机访问任何目的地址的 TCP 80 端口（Web 服务） [Huawei-acl-adv-3000] rule permit tcp source 192.168.1.100 0 destination any 0 destination-port eq 80 # 显式拒绝所有其他 IP 通信 [Huawei-acl-adv-3000] rule deny ip # 应用到 GE0/0/1 接口的出方向 [Huawei] interface GigabitEthernet0/0/1 [Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 30001.2.3.4.5.6.7.8.9.10.11.12.

说明：

rule permit tcp：允许特定主机的 Web 请求；destination-port eq 80：精确指定 Web 端口；rule deny ip：阻断其它所有通信行为。5. 命名 ACL 示例

复制

# 创建命名 ACL，名称为 BLOCK-FTP [Huawei] acl name BLOCK-FTP # 拒绝 192.168.2.0/24 网段访问 [Huawei-acl-basic-BLOCK-FTP] rule deny source 192.168.2.0 0.0.0.255 # 允许其余 IP [Huawei-acl-basic-BLOCK-FTP] rule permit source any # 应用到接口 G0/0/2 的入方向 [Huawei] interface G0/0/2 [Huawei-GigabitEthernet0/0/2] traffic-filter name BLOCK-FTP inbound1.2.3.4.5.6.7.8.9.10.11.12.

命名 ACL 更易于后期维护与识别，推荐在复杂场景中使用。

四、总结

访问控制列表（ACL）是网络中极其重要的安全防线。它能帮助我们：

精确限制访问来源与服务；防止非法入侵；精细管理数据流量。

配置 ACL 时请牢记三要素：匹配规则顺序、绑定方向、测试验证。掌握好这些，网络安全防线就稳固多了！

阅读剩余

THE END