

📌 适用设备:华为交换机、华为路由器、华为防火墙(基础 ACL 配置思路) ⭐ 建议收藏,排障时直接查阅。
ACL(Access Control List,访问控制列表)是网络设备中最常用的安全功能之一。
它可以实现:
✅ 控制谁可以访问网络
✅ 限制不同 VLAN 通信
✅ 配合 NAT 使用
✅ 配合 QoS 使用
✅ 配合策略路由
✅ 配合 VPN
企业网络中,ACL 几乎每天都会用到。
类型 | 编号 | 用途 |
|---|---|---|
基本 ACL | 2000~2999 | 仅匹配源IP |
高级 ACL | 3000~3999 | 源IP、目的IP、协议、端口 |
二层 ACL | 4000~4999 | MAC 地址过滤 |
用户 ACL | 5000~5999 | 用户认证 |
IPv6 ACL | 6000+ | IPv6 网络 |
acl number 2000
acl number 3000
acl name OFFICE
display acl all
display acl 3000
rule permit source 192.168.1.10 0
rule permit source 192.168.1.0 0.0.0.255
rule permit source any
rule permit source 10.0.0.0 0.255.255.255
rule permit
rule deny source 192.168.1.100 0
rule deny source 192.168.10.0 0.0.0.255
rule deny
rule deny source any
acl number 3000
rule permit tcp
rule permit udp
rule permit icmp
rule deny icmp
rule deny tcp
rule permit tcp destination-port eq 80
rule permit tcp destination-port eq 443
rule permit tcp destination-port eq 22
rule permit tcp destination-port eq 23
rule permit tcp destination-port eq 21
rule permit udp destination-port eq 53
rule permit udp destination-port eq 67
rule permit udp destination-port eq 123
rule permit udp destination-port eq 161
rule permit tcp destination-port eq 3389
source 192.168.1.0 0.0.0.255
destination 10.1.1.0 0.0.0.255
source 192.168.1.100 0
destination 10.1.1.100 0
source any
destination any
traffic-filter inbound acl 3000
traffic-filter outbound acl 3000
packet-filter 3000 inbound
acl 2000
user-interface vty 0 4
acl 2000 inbound
nat address-group 1
nat outbound 3000
undo acl number 3000
undo rule 5
rule 10 permit ...
rule 15 deny ...
reset acl counter
display acl 3000
display current-configuration interface GigabitEthernet0/0/1
display current-configuration
display acl all
save
场景 | 配置思路 |
|---|---|
禁止办公网访问服务器 | Deny 办公网 → 服务器网段 |
允许运维 SSH 登录 | Permit TCP 22,仅允许运维网段 |
禁止访问视频网站 | Deny 指定 IP 或域名解析地址(结合设备能力) |
限制 Ping | Deny ICMP |
VLAN 间访问控制 | 在三层接口绑定 ACL |
NAT 地址转换 | ACL 指定需要做 NAT 的源地址 |
VPN 流量匹配 | ACL 定义需要加密的流量 |
管理设备登录 | VTY + ACL 限制管理地址 |
防止非法访问 | 默认拒绝,按需放行 |
QoS 分类 | ACL 匹配特定业务流量 |
序号 | 易错点 | 详细说明 | 正确做法 |
|---|---|---|---|
❌ 1 | 规则顺序错误 | ACL 按从上到下顺序匹配,一旦命中即停止后续匹配 | 先写精确规则,再写宽泛规则(通配规则) |
❌ 2 | 忘记绑定 ACL | ACL 创建后如果不绑定到接口 / VTY / NAT / QoS 等模块,不会生效 | 必须将 ACL 应用到具体功能模块 |
❌ 3 | 忽略默认规则 | 未匹配流量通常会被隐式拒绝(不同设备策略可能不同) | 明确规划放行与拒绝策略,避免依赖默认行为 |
❌ 4 | 通配符写错 | 如 0.0.0.255 表示 /24,与子网掩码 255.255.255.0 容易混淆 | 熟练区分Wildcard Mask(反掩码)与子网掩码 |
❌ 5 | 方向配置错误 | inbound / outbound 含义不同,配置方向错会导致策略失效 | 根据流量方向判断:入接口 or 出接口 |