ACLAccess Control List访问控制列表是一系列规则的集合。它的核心作用是对网络中的数据包进行“识别”和“分类”然后根据识别结果决定是允许Permit还是拒绝Deny这些数据包通过。你可以把它理解为机场安检处的“VIP名单”或“黑名单”名单上的人符合规则的数据包放行或拒绝。名单上没有明确写的人未匹配任何规则的数据包最终按默认政策处理通常是拒绝。高级ACL编号3000~3999之所以“高级”是因为它能匹配源IP、目的IP、协议类型TCP/UDP/ICMP、源端口、目的端口实现“外科手术式”的精准控制。典型场景允许 192.168.1.0/24 网段的员工访问 10.10.10.100 这台服务器的Web服务80端口但禁止访问它的远程桌面3389端口。配置步骤Huawei system-view [Huawei] acl 3000 # 1. 创建高级ACL 3000 [Huawei-acl-adv-3000] rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.10.10.100 0 destination-port eq 80 # 规则5允许源网段访问目标主机的80端口 [Huawei-acl-adv-3000] rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 10.10.10.100 0 destination-port eq 3389 # 规则10拒绝源网段访问目标主机的3389端口 [Huawei-acl-adv-3000] rule 15 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.100 0 # 规则15允许其他所有IP协议如ICMP Ping通过防止隐式拒绝拦死所有流量 [Huawei-acl-adv-3000] quit [Huawei] interface GigabitEthernet 0/0/0 # 3. 进入流量必经的接口假设内网口 [Huawei-GigabitEthernet0/0/0] traffic-filter inbound acl 3000 # 4. 在入方向调用ACL [Huawei-GigabitEthernet0/0/0] quit [Huawei] save # 最后记得保存关键点规则号的顺序5 - 10 - 15决定了匹配优先级。必须先写精准的端口后写宽泛的IP否则先被宽泛的允许了后面精确拒绝就不生效了。彻底搞懂“通配符掩码”这是刚接触ACL时最容易晕的地方我教你用“二进制对照法”一次弄明白。1. 核心法则死记硬背通配符掩码是32位二进制数只有两个值0表示“这一位必须严格匹配必须一样”。1表示“这一位可以随意忽略不计”。2. 与“子网掩码”的数学关系你只需要记住一个公式通配符掩码 255.255.255.255 - 子网掩码要匹配的网段子网掩码对应的通配符掩码计算方式匹配 192.168.1.0网段/24255.255.255.0255.255.255.255 - 255.255.255.0 0.0.0.255匹配 192.168.0.0网段/16255.255.0.0255.255.255.255 - 255.255.0.0 0.0.255.255匹配单台主机/32255.255.255.255255.255.255.255 - 255.255.255.255 0.0.0.0拓扑图相关配置主要两个步骤配置规则调用1.配置规则1acl起名字并启动advance高级功能2设置不允许的访问路径3设置允许的访问路径2.调用acl规则测试开始可以ping通后面设置不允许访问ping不通测试成功。
)
)
