ACL是“流量特征定义器”traffic-filter是“执行闸门”。二者配合实现精准流量管控。一、ACL体系四类ACL命令速查表ACL类型编号范围匹配维度典型场景创建命令示例基本ACL2000-2999源IP简单主机管控acl 2000rule 5 permit source 192.168.1.100 0高级ACL3000-3999源/目的IP、协议、端口、ICMP类型精细服务控制acl 3001rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination-port eq 22二层ACL4000-4999源/目的MAC、VLAN ID、以太网类型交换机端口安全acl 4000rule 5 deny source-mac 5489-98xx-xxxx ffff-ffff-ffff用户自定义5000-5999报文偏移量内容特殊协议识别少用acl 5000rule 5 permit l2-head 0 2 0x0800高频规则命令ACL视图# 高级ACL完整示例拒绝病毒端口放行其他 rule 5 deny tcp destination-port eq 135 # 拒绝135端口 rule 10 deny tcp destination-port eq 445 # 拒绝445端口 rule 15 permit ip source 192.168.10.0 0.0.0.255 # 仅放行指定网段 rule 20 deny ip # 显式拒绝其他可省略末尾隐式deny # 关键参数说明 source any # 等效 0.0.0.0 0.0.0.0华为支持any简写 destination-port eq www # eq等于gt大于range范围如 range 1024 65535 fragment # 匹配分片报文防分片攻击 time-range worktime # 关联时间段需先定义time-rangeACL管理命令display acl all # 全局查看ACL配置 display acl 3000 # 查看指定ACL reset acl counter 3000 # 清零ACL命中计数器排查用 undo rule 10 # 删除规则10按ID精准删除二、traffic-filter接口级流量闸门核心命令接口视图traffic-filter inbound acl 3000 # 入方向过滤流量进入设备前拦截推荐安全场景 traffic-filter outbound acl 3000 # 出方向过滤流量离开设备前拦截推荐出口策略 undo traffic-filter inbound # 移除过滤策略关键机制项目说明动作逻辑ACL中permit放行deny丢弃与NAT场景含义相反匹配终止命中即停按规则ID升序匹配建议ID间隔5/10便于插入隐式规则所有ACL末尾存在deny any务必显式添加permit放行业务流量方向选择安全过滤优先用inbound早丢弃省资源出口管控用outbound三、典型应用场景实战场景1办公网安全隔离路由器# 禁止财务部(192.168.2.0/24)访问研发部(192.168.3.0/24)的数据库(3306端口) acl 3002 rule 5 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 destination-port eq 3306 rule 10 permit ip # interface GigabitEthernet0/0/1 # 连接核心交换机的内网接口 traffic-filter inbound acl 3002效果财务部无法访问研发数据库其他互访正常场景2交换机端口MAC绑定S5700acl 4001 rule 5 permit source-mac 5489-98ab-cdef ffff-ffff-ffff # 仅允许指定MAC rule 10 deny # interface GigabitEthernet0/0/5 # 接用户PC的端口 traffic-filter inbound acl 4001 port-security enable # 补充启用端口安全增强防护效果非授权MAC接入即断网防私接设备场景3出口安全策略防内网主机外连高危端口acl 3003 rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 445 rule 15 permit ip # interface GigabitEthernet0/0/2 # 连接外网的WAN口 traffic-filter outbound acl 3003 # 出方向过滤阻止内网主机向外发起危险连接效果阻断勒索病毒常用端口外联不影响正常上网场景4设备管理安全VTY访问控制acl 2001 rule 5 permit source 10.10.10.100 0 # 仅允许网管工作站 # user-interface vty 0 4 acl 2001 inbound # 注意此处非traffic-filter是VTY专用ACL应用 protocol inbound ssh效果仅指定IP可通过SSH管理设备场景5 Easy IP最常用单公网IP共享上网# 步骤1定义需转换的流量ACL是“触发器” acl 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 # 仅转换办公网段 # rule 10 deny ip # 可选显式拒绝其他deny不转换非丢弃 # 步骤2在外网接口启用Easy IP interface GigabitEthernet0/0/1 ip address 203.0.113.10 255.255.255.0 # 公网IP nat outbound 3000 # 无地址池 → 自动使用接口IP 端口复用效果192.168.1.0/24所有主机共享203.0.113.10上网ACL关键permit “需要NAT转换”deny “跳过NAT直通”非丢弃场景6 动态NAT多公网IP不复用端口# 创建公网地址池10个IP nat address-group 1 203.0.113.100 203.0.113.109 # ACL匹配内网流量 acl 2000 rule permit source 10.10.0.0 0.0.255.255 # 接口调用关键no-pat interface GigabitEthernet0/0/1 nat outbound 2000 address-group 1 no-pat # no-pat 禁用端口转换适用场景需保留内网主机真实IP特征如日志审计公网IP数量 ≥ 并发用户数不适用公网IP少于用户数会因IP耗尽导致部分用户无法上网场景7NAT Server端口映射内网服务对外发布# 方式1全局配置推荐 nat server protocol tcp global 203.0.113.10 80 inside 192.168.1.100 8080 nat server protocol tcp global 203.0.113.10 443 inside 192.168.1.100 8443 # 方式2使用接口IP避免硬编码 interface GigabitEthernet0/0/1 nat server protocol tcp global current-interface 22 inside 192.168.1.200 22效果外网访问203.0.113.10:80→ 自动转到内网192.168.1.100:8080回包自动转换源地址为公网IP安全加固必做配合traffic-filteracl 3001 rule 5 permit tcp destination 203.0.113.10 0 destination-port eq www rule 10 deny ip interface GigabitEthernet0/0/1 traffic-filter inbound acl 3001 # 仅开放Web端口防端口扫描场景8 静态NAT一对一映射interface GigabitEthernet0/0/1 nat static global 203.0.113.50 inside 192.168.1.50 netmask 255.255.255.255场景内网监控服务器需被外网通过固定公网IP直连无需端口转换双向自动映射注意消耗1个公网IP不适用于普通用户上网四、避坑高频误区方向混淆inbound 流量进入设备方向从对端看是“发向本设备”隐式deny遗漏未加permit ip导致全网断连排查先display acl counter看命中数ACL复用陷阱同一ACL用于NATtraffic-filter时permit在NAT中“需转换”在filter中“放行”逻辑需分别设计规则顺序错误宽泛规则如permit ip放在前面会导致精细规则失效交换机硬件ACLS5700等支持ACL硬件转发复杂规则建议在接入层部署减轻核心压力traffic-filter vs MQC流策略选型特性traffic-filterMQC流策略配置复杂度简单1条命令需定义classifier/behavior/policy动作能力仅permit/denydeny/permit/redirect/mirror/remark等适用场景基础访问控制复杂策略如镜像特定流量到监控端口ENSP推荐90%安全过滤场景首选需要重定向、QoS标记等高级动作时使用MQC简例将HTTP流量镜像traffic classifier http match acl 3004 traffic behavior mirror mirror-to observe-port 1 traffic policy http-mirror classifier http behavior mirror interface GE0/0/1; traffic-policy http-mirror inbound总结ACL定规则permit放行deny即丢弃末尾隐式deny业务permit必加安全用inbound出口用outbound排查看counter方向是核心
华为eNSP模拟器综合实验之- ACL控制列表核心命令全解析及场景应用
ACL是“流量特征定义器”traffic-filter是“执行闸门”。二者配合实现精准流量管控。一、ACL体系四类ACL命令速查表ACL类型编号范围匹配维度典型场景创建命令示例基本ACL2000-2999源IP简单主机管控acl 2000rule 5 permit source 192.168.1.100 0高级ACL3000-3999源/目的IP、协议、端口、ICMP类型精细服务控制acl 3001rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination-port eq 22二层ACL4000-4999源/目的MAC、VLAN ID、以太网类型交换机端口安全acl 4000rule 5 deny source-mac 5489-98xx-xxxx ffff-ffff-ffff用户自定义5000-5999报文偏移量内容特殊协议识别少用acl 5000rule 5 permit l2-head 0 2 0x0800高频规则命令ACL视图# 高级ACL完整示例拒绝病毒端口放行其他 rule 5 deny tcp destination-port eq 135 # 拒绝135端口 rule 10 deny tcp destination-port eq 445 # 拒绝445端口 rule 15 permit ip source 192.168.10.0 0.0.0.255 # 仅放行指定网段 rule 20 deny ip # 显式拒绝其他可省略末尾隐式deny # 关键参数说明 source any # 等效 0.0.0.0 0.0.0.0华为支持any简写 destination-port eq www # eq等于gt大于range范围如 range 1024 65535 fragment # 匹配分片报文防分片攻击 time-range worktime # 关联时间段需先定义time-rangeACL管理命令display acl all # 全局查看ACL配置 display acl 3000 # 查看指定ACL reset acl counter 3000 # 清零ACL命中计数器排查用 undo rule 10 # 删除规则10按ID精准删除二、traffic-filter接口级流量闸门核心命令接口视图traffic-filter inbound acl 3000 # 入方向过滤流量进入设备前拦截推荐安全场景 traffic-filter outbound acl 3000 # 出方向过滤流量离开设备前拦截推荐出口策略 undo traffic-filter inbound # 移除过滤策略关键机制项目说明动作逻辑ACL中permit放行deny丢弃与NAT场景含义相反匹配终止命中即停按规则ID升序匹配建议ID间隔5/10便于插入隐式规则所有ACL末尾存在deny any务必显式添加permit放行业务流量方向选择安全过滤优先用inbound早丢弃省资源出口管控用outbound三、典型应用场景实战场景1办公网安全隔离路由器# 禁止财务部(192.168.2.0/24)访问研发部(192.168.3.0/24)的数据库(3306端口) acl 3002 rule 5 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 destination-port eq 3306 rule 10 permit ip # interface GigabitEthernet0/0/1 # 连接核心交换机的内网接口 traffic-filter inbound acl 3002效果财务部无法访问研发数据库其他互访正常场景2交换机端口MAC绑定S5700acl 4001 rule 5 permit source-mac 5489-98ab-cdef ffff-ffff-ffff # 仅允许指定MAC rule 10 deny # interface GigabitEthernet0/0/5 # 接用户PC的端口 traffic-filter inbound acl 4001 port-security enable # 补充启用端口安全增强防护效果非授权MAC接入即断网防私接设备场景3出口安全策略防内网主机外连高危端口acl 3003 rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 445 rule 15 permit ip # interface GigabitEthernet0/0/2 # 连接外网的WAN口 traffic-filter outbound acl 3003 # 出方向过滤阻止内网主机向外发起危险连接效果阻断勒索病毒常用端口外联不影响正常上网场景4设备管理安全VTY访问控制acl 2001 rule 5 permit source 10.10.10.100 0 # 仅允许网管工作站 # user-interface vty 0 4 acl 2001 inbound # 注意此处非traffic-filter是VTY专用ACL应用 protocol inbound ssh效果仅指定IP可通过SSH管理设备场景5 Easy IP最常用单公网IP共享上网# 步骤1定义需转换的流量ACL是“触发器” acl 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 # 仅转换办公网段 # rule 10 deny ip # 可选显式拒绝其他deny不转换非丢弃 # 步骤2在外网接口启用Easy IP interface GigabitEthernet0/0/1 ip address 203.0.113.10 255.255.255.0 # 公网IP nat outbound 3000 # 无地址池 → 自动使用接口IP 端口复用效果192.168.1.0/24所有主机共享203.0.113.10上网ACL关键permit “需要NAT转换”deny “跳过NAT直通”非丢弃场景6 动态NAT多公网IP不复用端口# 创建公网地址池10个IP nat address-group 1 203.0.113.100 203.0.113.109 # ACL匹配内网流量 acl 2000 rule permit source 10.10.0.0 0.0.255.255 # 接口调用关键no-pat interface GigabitEthernet0/0/1 nat outbound 2000 address-group 1 no-pat # no-pat 禁用端口转换适用场景需保留内网主机真实IP特征如日志审计公网IP数量 ≥ 并发用户数不适用公网IP少于用户数会因IP耗尽导致部分用户无法上网场景7NAT Server端口映射内网服务对外发布# 方式1全局配置推荐 nat server protocol tcp global 203.0.113.10 80 inside 192.168.1.100 8080 nat server protocol tcp global 203.0.113.10 443 inside 192.168.1.100 8443 # 方式2使用接口IP避免硬编码 interface GigabitEthernet0/0/1 nat server protocol tcp global current-interface 22 inside 192.168.1.200 22效果外网访问203.0.113.10:80→ 自动转到内网192.168.1.100:8080回包自动转换源地址为公网IP安全加固必做配合traffic-filteracl 3001 rule 5 permit tcp destination 203.0.113.10 0 destination-port eq www rule 10 deny ip interface GigabitEthernet0/0/1 traffic-filter inbound acl 3001 # 仅开放Web端口防端口扫描场景8 静态NAT一对一映射interface GigabitEthernet0/0/1 nat static global 203.0.113.50 inside 192.168.1.50 netmask 255.255.255.255场景内网监控服务器需被外网通过固定公网IP直连无需端口转换双向自动映射注意消耗1个公网IP不适用于普通用户上网四、避坑高频误区方向混淆inbound 流量进入设备方向从对端看是“发向本设备”隐式deny遗漏未加permit ip导致全网断连排查先display acl counter看命中数ACL复用陷阱同一ACL用于NATtraffic-filter时permit在NAT中“需转换”在filter中“放行”逻辑需分别设计规则顺序错误宽泛规则如permit ip放在前面会导致精细规则失效交换机硬件ACLS5700等支持ACL硬件转发复杂规则建议在接入层部署减轻核心压力traffic-filter vs MQC流策略选型特性traffic-filterMQC流策略配置复杂度简单1条命令需定义classifier/behavior/policy动作能力仅permit/denydeny/permit/redirect/mirror/remark等适用场景基础访问控制复杂策略如镜像特定流量到监控端口ENSP推荐90%安全过滤场景首选需要重定向、QoS标记等高级动作时使用MQC简例将HTTP流量镜像traffic classifier http match acl 3004 traffic behavior mirror mirror-to observe-port 1 traffic policy http-mirror classifier http behavior mirror interface GE0/0/1; traffic-policy http-mirror inbound总结ACL定规则permit放行deny即丢弃末尾隐式deny业务permit必加安全用inbound出口用outbound排查看counter方向是核心
