首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >网络工程师必收藏:最常见 50 条 ACL 配置命令(华为交换机/路由器完整版)

网络工程师必收藏:最常见 50 条 ACL 配置命令(华为交换机/路由器完整版)

作者头像
知孤云出岫
发布2026-06-30 15:29:54
发布2026-06-30 15:29:54
4960
举报

📌 适用设备:华为交换机、华为路由器、华为防火墙(基础 ACL 配置思路) ⭐ 建议收藏,排障时直接查阅。


一、什么是 ACL?

ACL(Access Control List,访问控制列表)是网络设备中最常用的安全功能之一。

它可以实现:

✅ 控制谁可以访问网络

✅ 限制不同 VLAN 通信

✅ 配合 NAT 使用

✅ 配合 QoS 使用

✅ 配合策略路由

✅ 配合 VPN

企业网络中,ACL 几乎每天都会用到。


二、ACL 分类

类型

编号

用途

基本 ACL

2000~2999

仅匹配源IP

高级 ACL

3000~3999

源IP、目的IP、协议、端口

二层 ACL

4000~4999

MAC 地址过滤

用户 ACL

5000~5999

用户认证

IPv6 ACL

6000+

IPv6 网络


三、最常用 50 条 ACL 配置命令

第一部分:ACL 创建

① 创建基本 ACL

代码语言:javascript
复制
acl number 2000

② 创建高级 ACL

代码语言:javascript
复制
acl number 3000

③ 创建命名 ACL

代码语言:javascript
复制
acl name OFFICE

④ 查看 ACL

代码语言:javascript
复制
display acl all

⑤ 查看指定 ACL

代码语言:javascript
复制
display acl 3000

第二部分:允许规则

⑥ 允许一个主机

代码语言:javascript
复制
rule permit source 192.168.1.10 0

⑦ 允许整个网段

代码语言:javascript
复制
rule permit source 192.168.1.0 0.0.0.255

⑧ 允许任意地址

代码语言:javascript
复制
rule permit source any

⑨ 允许多个连续网段

代码语言:javascript
复制
rule permit source 10.0.0.0 0.255.255.255

⑩ 允许所有

代码语言:javascript
复制
rule permit

第三部分:拒绝规则

⑪ 禁止某台主机

代码语言:javascript
复制
rule deny source 192.168.1.100 0

⑫ 禁止一个网段

代码语言:javascript
复制
rule deny source 192.168.10.0 0.0.0.255

⑬ 禁止所有

代码语言:javascript
复制
rule deny

⑭ 拒绝任意来源

代码语言:javascript
复制
rule deny source any

第四部分:高级 ACL

⑮ 创建高级 ACL

代码语言:javascript
复制
acl number 3000

⑯ 允许 TCP

代码语言:javascript
复制
rule permit tcp

⑰ 允许 UDP

代码语言:javascript
复制
rule permit udp

⑱ 允许 ICMP

代码语言:javascript
复制
rule permit icmp

⑲ 拒绝 ICMP

代码语言:javascript
复制
rule deny icmp

⑳ 拒绝所有 TCP

代码语言:javascript
复制
rule deny tcp

第五部分:端口控制

㉑ 放行 HTTP

代码语言:javascript
复制
rule permit tcp destination-port eq 80

㉒ 放行 HTTPS

代码语言:javascript
复制
rule permit tcp destination-port eq 443

㉓ 放行 SSH

代码语言:javascript
复制
rule permit tcp destination-port eq 22

㉔ 放行 Telnet

代码语言:javascript
复制
rule permit tcp destination-port eq 23

㉕ 放行 FTP

代码语言:javascript
复制
rule permit tcp destination-port eq 21

㉖ 放行 DNS

代码语言:javascript
复制
rule permit udp destination-port eq 53

㉗ 放行 DHCP

代码语言:javascript
复制
rule permit udp destination-port eq 67

㉘ 放行 NTP

代码语言:javascript
复制
rule permit udp destination-port eq 123

㉙ 放行 SNMP

代码语言:javascript
复制
rule permit udp destination-port eq 161

㉚ 放行 RDP

代码语言:javascript
复制
rule permit tcp destination-port eq 3389

第六部分:源和目的地址

㉛ 指定源地址

代码语言:javascript
复制
source 192.168.1.0 0.0.0.255

㉜ 指定目的地址

代码语言:javascript
复制
destination 10.1.1.0 0.0.0.255

㉝ 指定源主机

代码语言:javascript
复制
source 192.168.1.100 0

㉞ 指定目的主机

代码语言:javascript
复制
destination 10.1.1.100 0

㉟ 指定任意地址

代码语言:javascript
复制
source any
destination any

第七部分:绑定 ACL

㊱ 接口入方向

代码语言:javascript
复制
traffic-filter inbound acl 3000

㊲ 接口出方向

代码语言:javascript
复制
traffic-filter outbound acl 3000

㊳ VLAN 绑定

代码语言:javascript
复制
packet-filter 3000 inbound

㊴ VTY 登录限制

代码语言:javascript
复制
acl 2000
代码语言:javascript
复制
user-interface vty 0 4
acl 2000 inbound

㊵ NAT 调用 ACL

代码语言:javascript
复制
nat address-group 1
nat outbound 3000

第八部分:规则管理

㊶ 删除 ACL

代码语言:javascript
复制
undo acl number 3000

㊷ 删除规则

代码语言:javascript
复制
undo rule 5

㊸ 修改规则

代码语言:javascript
复制
rule 10 permit ...

㊹ 插入规则

代码语言:javascript
复制
rule 15 deny ...

㊺ 清空 ACL

代码语言:javascript
复制
reset acl counter

第九部分:统计

㊻ 查看命中次数

代码语言:javascript
复制
display acl 3000

㊼ 查看接口调用

代码语言:javascript
复制
display current-configuration interface GigabitEthernet0/0/1

㊽ 查看配置

代码语言:javascript
复制
display current-configuration

㊾ 查看所有 ACL

代码语言:javascript
复制
display acl all

㊿ 保存配置

代码语言:javascript
复制
save

四、企业最常见 ACL 应用场景

场景

配置思路

禁止办公网访问服务器

Deny 办公网 → 服务器网段

允许运维 SSH 登录

Permit TCP 22,仅允许运维网段

禁止访问视频网站

Deny 指定 IP 或域名解析地址(结合设备能力)

限制 Ping

Deny ICMP

VLAN 间访问控制

在三层接口绑定 ACL

NAT 地址转换

ACL 指定需要做 NAT 的源地址

VPN 流量匹配

ACL 定义需要加密的流量

管理设备登录

VTY + ACL 限制管理地址

防止非法访问

默认拒绝,按需放行

QoS 分类

ACL 匹配特定业务流量


五、ACL 配置的 5 个易错点

序号

易错点

详细说明

正确做法

❌ 1

规则顺序错误

ACL 按从上到下顺序匹配,一旦命中即停止后续匹配

先写精确规则,再写宽泛规则(通配规则)

❌ 2

忘记绑定 ACL

ACL 创建后如果不绑定到接口 / VTY / NAT / QoS 等模块,不会生效

必须将 ACL 应用到具体功能模块

❌ 3

忽略默认规则

未匹配流量通常会被隐式拒绝(不同设备策略可能不同)

明确规划放行与拒绝策略,避免依赖默认行为

❌ 4

通配符写错

如 0.0.0.255 表示 /24,与子网掩码 255.255.255.0 容易混淆

熟练区分Wildcard Mask(反掩码)与子网掩码

❌ 5

方向配置错误

inbound / outbound 含义不同,配置方向错会导致策略失效

根据流量方向判断:入接口 or 出接口

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-06-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 智网研习社 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、什么是 ACL?
  • 二、ACL 分类
  • 三、最常用 50 条 ACL 配置命令
    • 第一部分:ACL 创建
      • ① 创建基本 ACL
      • ② 创建高级 ACL
      • ③ 创建命名 ACL
      • ④ 查看 ACL
      • ⑤ 查看指定 ACL
    • 第二部分:允许规则
      • ⑥ 允许一个主机
      • ⑦ 允许整个网段
      • ⑧ 允许任意地址
      • ⑨ 允许多个连续网段
      • ⑩ 允许所有
    • 第三部分:拒绝规则
      • ⑪ 禁止某台主机
      • ⑫ 禁止一个网段
      • ⑬ 禁止所有
      • ⑭ 拒绝任意来源
    • 第四部分:高级 ACL
      • ⑮ 创建高级 ACL
      • ⑯ 允许 TCP
      • ⑰ 允许 UDP
      • ⑱ 允许 ICMP
      • ⑲ 拒绝 ICMP
      • ⑳ 拒绝所有 TCP
    • 第五部分:端口控制
      • ㉑ 放行 HTTP
      • ㉒ 放行 HTTPS
      • ㉓ 放行 SSH
      • ㉔ 放行 Telnet
      • ㉕ 放行 FTP
      • ㉖ 放行 DNS
      • ㉗ 放行 DHCP
      • ㉘ 放行 NTP
      • ㉙ 放行 SNMP
      • ㉚ 放行 RDP
    • 第六部分:源和目的地址
      • ㉛ 指定源地址
      • ㉜ 指定目的地址
      • ㉝ 指定源主机
      • ㉞ 指定目的主机
      • ㉟ 指定任意地址
    • 第七部分:绑定 ACL
      • ㊱ 接口入方向
      • ㊲ 接口出方向
      • ㊳ VLAN 绑定
      • ㊴ VTY 登录限制
      • ㊵ NAT 调用 ACL
    • 第八部分:规则管理
      • ㊶ 删除 ACL
      • ㊷ 删除规则
      • ㊸ 修改规则
      • ㊹ 插入规则
      • ㊺ 清空 ACL
    • 第九部分:统计
      • ㊻ 查看命中次数
      • ㊼ 查看接口调用
      • ㊽ 查看配置
      • ㊾ 查看所有 ACL
      • ㊿ 保存配置
  • 四、企业最常见 ACL 应用场景
  • 五、ACL 配置的 5 个易错点
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档