ACL三种典型写法:按源IP、按目标段、按业务端口

已于 2025-07-21 23:04:36 修改
阅读量710 收藏 5
点赞数 8
CC 4.0 BY-SA版权
文章标签: 网络 网络工程师 华为认证 tcp/ip 网络协议 tcpdump 测试工具
于 2025-07-21 22:58:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SPOTO2021/article/details/149518263

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

ACL(访问控制列表)是交换机、路由器上最常见也最容易出锅的配置。

稍有不慎,业务断一片;写太宽,安全等于摆设;写太窄,又封死了正常访问。

那 ACL 应该怎么写?不同业务场景下,该用哪种方式来匹配?

源IP、目标段、业务端口,这三种匹配方式掌握住,日常配置基本不会翻车。

一、按源 IP 写:控制“谁”可以访问

这种写法最常见、最通用,用于控制哪些“主机”能访问某个网络或端口。

常见应用场景:

  • 允许某台运维主机远程登录交换机
  • 限制办公网内的某些IP访问服务器

语法示例:

acl number 3000
 rule 5 permit ip source 192.168.1.10 0

这里的 0 是反掩码,表示精确匹配 192.168.1.10 这一个地址。 如果要放一个网段,比如:

 rule 10 permit ip source 192.168.1.0 0.0.0.255

然后绑定到对应接口方向即可:

interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000

⚠ 注意:

  • ACL 默认不包含“拒绝所有”的行为,要拒绝需要显式写 deny
  • 华为 ACL 是匹配到即止(类似顺序判断),规则顺序很重要

二、按目标地址段写:控制“能访问哪里”

很多人只知道按源IP写,但真实场景中,按目标地址/网段来做控制的也很多。 比如有些服务器网段只能被少数人访问;有些出口只放开公网 DNS 或邮箱服务。

常见应用场景:

  • 限制内网主机只能访问特定的公网网段(如 8.8.8.8)
  • 控制某些业务只能访问某个 DMZ 区段

示例写法:

acl number 3001
 rule 5 permit ip destination 10.10.10.0 0.0.0.255

或者你想拒绝某一段地址:

 rule 10 deny ip destination 203.0.113.0 0.0.0.255
 rule 20 permit ip

这里用了destination关键词表示目标地址匹配。

⚠ 这种写法特别适合出口控制,但很多人都只会用源IP,反而容易放错、封错。

三、按业务端口写:控制“能访问什么服务”

这类写法适用于协议粒度控制,像只允许访问 DNS、Web、SSH 的场景特别常见。

常见应用场景:

  • 只允许用户访问 HTTP/HTTPS(80/443)端口
  • 禁止所有人访问某业务端口(如数据库 3306)

示例写法:

acl number 3002
 rule 5 permit tcp destination-port eq 443
 rule 10 permit tcp destination-port eq 80
 rule 20 deny ip

这个 ACL 表示:只允许访问 HTTPS 和 HTTP 端口,其它全部拒绝

你也可以加上源地址做更细粒度控制:

 rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq 22

⚠ 要记住:

  • 匹配端口时,一定要指定协议(tcp/udp)
  • eq 是“等于”,还有 range(范围)、gt/lt(大于/小于)等写法

三种 ACL 写法总结对比

最后给几个实战建议

  • ACL 不建议写太长,如果有太多条,考虑整合地址组/端口组
  • ACL 规则顺序很关键,匹配到一条就不会继续往下匹配
  • 一定要区分 in/out 方向,很多配置没效果就是因为方向反了
  • 端口控制建议用TCP/UDP配合,避免“误放所有协议”
  • ACL 搭配 NAT、QoS、VPN 使用效果更大,但配置也更复杂

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

路由器策略ACL配置
悦分享
07-09 7681
ACL能够匹配一个IP数据包中的IP地址、目的IP地址、协议类型、目的端口等元素的基础性工具。ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?ACL是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类。
华为设备配置 |基本ACL| 对IP做配置
闫露坤
02-02 3978
实验需求:  0、确保互通  1、禁止PC1访问server  2、允许所有流量访问server 实验拓扑: 理解: ACL 是应用在路由器接口的指令列表  规则 ACL 读取第三层第  四层报文头部信息 对报文进行过滤 实验配置: [ar1]int g0/0/0 [ar1-GigabitEthernet0/0/0]ip add 192.168.100.254 24 [ar1-Gigab...
路由交换基础&ACL(访问控制列表)(标准写法)✍
✍千里之行,始于足下 ^,^
12-13 3334
ACL:访问控制列表 它的作用有两个: 1、访问控制-----在路由器上流量进或出的接口上规则流量; 2、定义感兴趣流量 —为其他的策略匹配流量 (在NAT中有具体的应用) ----------访问控制:将ACL列表定义好了之后,将列表在路由器的接口上进行调用,当流量从接口上通过时,进行匹配,匹配成功后按照列表上设定好的动作进行处理。动作------允许(permit)、拒绝(deny)。 匹配的...
Nat easy IP ACL
weixin_61074128的博客
12-04 631
AR2-acl-basic-2000]rule deny source 192.168.2.1 0 //设置ACL的规则为拒绝地为192.168.2.1的主机通过。[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //将ACL2000应用于这个端口上。2.单个IP地址的写法(192.168.2.1 0 ) 写一个IP地址,在后面加个0即可。[AR2]int g0/0/1 //进入路由器和内部主机连接的端口
CCNA7:ACL、NAT(一对一、一对多、多对多)、端口映射、远程登录
热门推荐
LIHAO的博客
05-08 1万+
文章目录CCNA7:ACL访问控制列表、NAT:一、远程登录:二、ACL:访问控制列表:1、访问控制:(1)匹配规则:(2)分类:①:标准ACL:②:扩展ACL:2、定义感兴趣的流量:3、实验:二、NAT: CCNA7:ACL访问控制列表、NAT: 一、远程登录: 远程登录的思路:首先在被登录方设置一个用户名和密码,然后开启远程登录。虚拟链路0-4,一共5根虚拟链路,允许同时5人登录进来。 R2...
ACL
weixin_50339735的博客
04-19 1303
ACL技术背景 ACL实现的功能:通过定义规则来允许或拒绝流量的通过 ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制的列表,路由器通过逐项读取列表中的条目来判断当前数据包是 放行还是丢弃。命中即执行,不再读取后面的列表是一个路由器数据处理数据包的行为规范手册。 ACL分类 (1)标准(基本)ACL:参数是IP地址 (2)拓展(高级)ACL:参数是IP地址、目的IP地址、端口、目的端口 (3)特殊(二层)ACL:参数是MAC地址,目的MAC地址,以太帧协议类
Redis三种集群模式:主从模式、哨兵模式和Cluster模式
09-01 3274
redis主从:可实现高并发(读),典型部署方案:一主二从redis哨兵:可实现高可用,典型部署方案:一主二从三哨兵redis集群:可同时支持高可用(读与写)、高并发,典型部署方案:三主三从。
TCP IP安全 之 ACL访问控制列表_acl icmp tcp
2401_84972627的博客
05-13 820
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
业务访问控制-ACL与包过滤
MUY0990的博客
07-15 1015
全称: Access Control List(访问控制列表)核心功能: 实现数据包识别功能,对数据包进行分类工作特点:仅对数据包进行匹配和分类不直接处理数据包,只负责识别和分类时间范围命名:使用time-range off-work定义时间名称,建议命名与实际功能相符(虽然案例中命名为"下班"但实际配置上班时间)周期性设置:periodic weekdays 09:00 to 18:00表示工作日(周一到周五)的9点到18点。
ACL详解 Cisco
aiwo1376301646的博客
05-25 2495
访问控制列表简称为ACL: 访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如地址,目的地址,端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了 访问控制列表的原理: 对路由器接口来说有两个方向: 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理 ...
【ESP32设备通信】-使用Modbus RTU读取传感器数据
视觉与物联智能
07-20 300
在本文中,我们将深入研究 Modbus RTU 协议,并学习如何使用 ESP32 实现该协议,以便通过 RS485 从从设备读取传感器数据。为了简化和加深理解,我们将重点介绍一个基于 Modbus RTU 协议的温湿度传感器。我们将对 ESP32 进行编程,使其能够通过 RS-485 读取传感器数据,从而通过实践操作来理解这种通信方式。
学习小结记录
A57645467的博客
07-22 354
1、首先客户端位置是一台电脑或手机,在打开浏览器以后,比如输入http://www.zdns.cn的域名,它首先是由浏览器发起一个DNS解析请求,如果本地缓存服务器中找不到结果,则首先会向根服务器查询,根服务器里面记录的都是各个顶级域所在的服务器的位置,当向根请求http://www.zdns.cn的时候,根服务器就会返回.cn服务器的位置信息。2、递归服务器拿到.cn的权威服务器地址以后,就会寻问cn的权威服务器,知不知道http://www.zdns.cn的位置。
软考 系统架构设计师系列知识点之杂项集萃(112)
phmatthaus的专栏
07-19 133
软考 系统架构设计师系列知识点之杂项集萃(112)
两个android,一个客户端一个服务器端
最新发布
hashiqimiya的博客
07-22 446
若没加<uses-permission android:name="android.permission.INTERNET" />若没有增加android:networkSecurityConfig="@xml/network_security_config"若没增加<uses-permission android:name="android.permission.INTERNET"/>注意:第一个8080为宿主机监听端口,第二个为android模拟器的监听端口。注意是在模拟器上运行的。
在本地127.0.0.1上跨实例访问远程数据库
qq_46636081的博客
07-22 64
执行查询的时候需要带上远程链接名:[Remote203].目标数据库名。
gRPC、Thrift与其他主流RPC框架深度对比
weixin_43680337的博客
07-21 557
选择gRPC当需要HTTP/2特性多语言环境云原生部署流式数据传输选择Thrift当已有Thrift基础设施需要极致性能(C++)自定义协议需求非HTTP环境选择Dubbo当Java技术栈为主需要完善的服务治理阿里巴巴生态体系选择JSON-RPC当快速原型开发前端直接调用简单系统集成最终选择应基于具体的技术需求、团队技能栈和长期架构规划。现代分布式系统往往会混合使用多种RPC技术,例如用gRPC处理服务间通信,同时对外提供REST/JSON-RPC接口。
QT聊天项目DAY15
yumianxiaolangju的博客
07-18 662
先使用Http向GateServer发起登录请求,该GateServer再向Status请求聊天服务器的地址,当登录成功立即向聊天服务器建立Tcp连接,并且再次发送登录请求,从数据库中拉拽用户信息,好友信息等
数字化转型:概念性名词浅谈(第三十讲)
m0_53104033的博客
07-18 1160
​ 大家好,今天接着介绍数字化转型的概念性名词系列。 (1)TCP报文格式 TCP报文格式,是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。 传输控制协议(英语:Transmission Control Protocol,缩写:TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。用户数据报协议(UDP)是同一层内另一个重要的传输协议。
网络基础16--VRRP技术
2301_76981288的博客
07-22 107
• 主路由器激活虚拟IP地址,转发数据报文,并定期向广播域内发送VRRP组播报文通告自己的状态,定期通告时间(AdvertisementInterval)默认为1秒。• 备份路由器不发送但接收VRRP报文,在MASTER_DOWN_TIMER(一般为3个通告周期)内没有收到主路由器的VRRP报文,则备份路由器将成为主路由器。:VLAN 1主网关SW-1(备SW-2),VLAN 2主网关SW-2(备SW-1)。若SW-1上行接口故障,优先级降为75,SW-2(优先级100)接管VLAN 1流量。
ACL的种类和编号,acl的特点,acl基本和高级的写法
03-25
<think>好的,我现在需要帮助用户了解ACL的分类、特点以及基础与高级写法。首先,用户提到了参考引用里的内容,里面提到了标准ACL、扩展ACL和命名ACL的分类,还有它们的编号范围和特点。我需要先整理这些信息,确保准确无误。 首先,标准ACL的编号是1-99,只根据IP进行过滤。扩展ACL是100-199,可以基于IP、目标IP、协议、端口等更复杂的条件。命名ACL则是用名称代替编号,可以是标准或扩展类型。这些是基本分类,我需要详细列出它们的特点和基本语法。 接下来,用户还问到了基础与高级写法。基础写法可能包括基本的ACL配置命令,比如标准ACL的创建和应用。高级用法可能涉及更复杂的配置,比如使用命名ACL、结合时间范围、日志记录等。需要分点说明,并举例具体的命令格式。 另外,用户可能对应用场景感兴趣,比如标准ACL适合放在靠近目标的位置,而扩展ACL更适合靠近的位置,这需要解释清楚。同时,注意事项如ACL的执行顺序、隐含拒绝规则等,也需要提及,避免常见错误。 在回答时,需要按照用户的要求,使用中文,数学表达式用$...$,独立公式用$$...$$,但这里可能不太涉及数学公式,所以主要关注ACL的配置命令和结构。确保引用标记正确,参考引用中的内容在适当位置标注[^1]。 最后,生成相关问题时要围绕ACL的分类、配置、优化和应用,比如如何选择ACL类型、日志功能的使用、与防火墙的区别等。确保问题有针对性,帮助用户进一步学习。 现在需要检查是否有遗漏的信息,比如ACL的隐含拒绝所有规则,或者配置时的顺序问题,这些都是关键点,必须包含在回答中。同时,基本语法和高级用法的例子要准确,符合常见的配置语法,比如Cisco的ACL命令格式。 总结来说,回答的结构应该是先分类,每个类型的特点、编号、基本语法示例,然后是高级用法,注意事项,最后相关问题。确保每个部分清晰,符合用户的要求。</think>### ACL的分类、特点及配置语法 #### 一、ACL分类与特点 根据功能和过滤条件复杂度,ACL可分为以下三类: 1. **标准ACL** - **编号范围**:$1\sim99$ - **特点**:仅基于IP地址过滤流量,适用于简单策略(如限制特定IP访问整个网络)[^1]。 - **基础语法示例**(Cisco设备): ```bash access-list 10 permit 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24网 access-list 10 deny any # 拒绝其他所有流量 ``` 2. **扩展ACL** - **编号范围**:$100\sim199$ - **特点**:支持多维度条件(IP、目标IP、协议、端口等),可精细控制流量(如限制某IP访问特定服务的端口)。 - **基础语法示例**: ```bash access-list 150 deny tcp 10.0.0.0 0.255.255.255 any eq 80 # 拒绝10.x.x.x网访问HTTP access-list 150 permit ip any any # 允许其他IP协议流量 ``` 3. **命名ACL** - **特点**:使用名称替代编号,支持标准/扩展功能,便于维护和扩展。 - **基础语法示例**: ```bash ip access-list extended WEB_FILTER deny tcp host 172.16.1.5 any eq 443 permit tcp any any ``` --- #### 二、高级用法 1. **时间范围控制** 结合`time-range`参数,实现基于时间的访问控制: ```bash time-range WORK_HOURS periodic weekdays 9:00 to 17:00 access-list 160 permit tcp any any eq 22 time-range WORK_HOURS # 仅工作时间允许SSH ``` 2. **日志记录** 通过`log`参数记录匹配ACL规则的流量: ```bash access-list 101 deny ip 192.168.2.0 0.0.0.255 any log # 记录拒绝流量日志 ``` 3. **片过滤** 使用`fragments`关键字处理分片数据包: ```bash access-list 110 deny udp any any fragments # 阻止UDP分片流量 ``` --- #### 三、注意事项 1. **隐含拒绝规则**:所有ACL默认在末尾包含`deny any`,需显式允许必要流量。 2. **执行顺序**:ACL规则按从上到下顺序匹配,应优先放置具体规则。 3. **应用位置**:标准ACL建议靠近目标设备,扩展ACL靠近以减少无效流量传输。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值