网络访问控制:ACL的分类、场景与华为配置实战
发布时间:2026-02-20 13:00 浏览量:2
ACL的分类体系
根据功能和应用场景的不同,华为等主流网络设备将ACL分为多个类别,每种类型通过特定的编号范围进行标识。
其中,
基本ACL
仅基于源IP地址进行过滤,而
高级ACL
能够检查IP分组第3层和第4层报头中的更多字段,如源/目的IP地址、协议类型、端口号等,实现更精细的控制。此外,设备还支持通过名称来标识的命名型ACL。
ACL的常见应用场景
ACL的应用贯穿于网络安全的各个层面,从基础的访问隔离到复杂的流量管理。
智能流量管理
分时访问控制
:利用时间ACL,在工作时间禁止访问娱乐、游戏网站,非工作时间放开,以提升工作效率。
分时带宽管理
:在工作时间保障核心业务带宽,限制P2P下载;在夜间或周末放开限制,优化带宽利用率。
服务访问控制
:允许或拒绝特定端口的流量,例如只允许HTTP/HTTPS访问,拒绝Telnet或FTP。
ACL还可用于实现路由过滤,与路由策略结合,对路由信息的接收与发布进行精确控制,或用于网络地址转换(NAT),确定哪些内网地址通过哪个外网地址池进行转换。
华为设备ACL配置实战
下面以一个典型的企业网络场景为例,展示如何在华为路由器上配置ACL。假设网络中有研发部(网段:192.168.1.0/24)、市场部(网段:192.168.2.0/24)和财务服务器(IP:172.16.10.1)。
需求1:禁止研发部访问财务服务器,但允许其访问其他网络。
这需要使用高级ACL,在连接研发部的路由器接口入方向进行过滤。
华为设备配置命令
# 进入系统视图system-view # 创建高级ACL 3000 [HUAWEI] acl 3000 # 配置规则:拒绝研发部(192.168.1.0/24)访问财务服务器(172.16.10.1) [HUAWEI-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0 # 配置规则:允许其他所有IP流量(避免隐含拒绝所有) [HUAWEI-acl-adv-3000] rule permit ip [HUAWEI-acl-adv-3000] quit # 进入连接研发部的接口(例如GigabitEthernet 0/0/1) [HUAWEI] interface GigabitEthernet 0/0/1 # 在接口入方向应用ACL 3000 [HUAWEI-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 [HUAWEI-GigabitEthernet0/0/1] quit
需求2:在工作时间(周一至周五 8:00-17:30)限制市场部的总上网带宽为4Mbps。
这需要结合时间ACL和流量策略(MQC)。
华为设备配置命令
# 定义工作时间段[HUAWEI] time-range WORK_TIME 08:00 to 17:30 working-day# 创建ACL识别市场部流量[HUAWEI] acl 3001[HUAWEI-acl-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 time-range WORK_TIME[HUAWEI-acl-adv-3001] quit# 配置MQC流策略进行限速[HUAWEI] traffic classifier MARKET_CLASSIFIER[HUAWEI-classifier-MARKET_CLASSIFIER] if-match acl 3001[HUAWEI-classifier-MARKET_CLASSIFIER] quit[HUAWEI] traffic behavior SHAPING_4M[HUAWEI-behavior-SHAPING_4M] car cir 4000 # 承诺信息速率4Mbps[HUAWEI-behavior-SHAPING_4M] quit[HUAWEI] traffic policy QOS_FOR_MARKET[HUAWEI-trafficpolicy-QOS_FOR_MARKET] classifier MARKET_CLASSIFIER behavior SHAPING_4M[HUAWEI-trafficpolicy-QOS_FOR_MARKET] quit# 在连接市场部的接口入方向应用流策略[HUAWEI] interface GigabitEthernet 0/0/2[HUAWEI-GigabitEthernet0/0/2] traffic-policy QOS_FOR_MARKET inbound[HUAWEI-GigabitEthernet0/0/2] quit
关键配置原则与注意事项
匹配顺序
:ACL规则默认按配置顺序(规则ID从小到大)匹配,一旦命中即停止。也可设置为自动排序(深度优先)。
隐含拒绝
:如果数据包未匹配任何规则,设备将执行隐含的“拒绝所有”操作。因此,通常需要在ACL末尾显式添加一条`permit ip`规则以避免误阻断。
应用方向
:需仔细考虑将ACL应用在接口的`inbound`(入方向)还是`outbound`(出方向),这决定了过滤的是进入还是离开设备的流量。
规则位置
:通常将更具体、更严格的规则放在前面,避免被泛化的规则提前匹配。
时间ACL依赖
:时间ACL完全依赖设备的系统时钟,务必使用NTP同步时间,否则策略生效时间会错乱。