華為ACL配置命令詳解

一、ACL簡介

ACL（Access Control List）即訪問控制列表，可以在路由器、交換機等設備上進行配置，用來限制網路中數據流的訪問，實現基本網路安全控制。ACL通過匹配數據包的源地址、目的地址、協議類型、埠號等信息來控制數據流在網路中的流向。

二、ACL類型

1、標準ACL：基於源IP地址進行匹配，不能指定協議類型、埠號等。標準ACL適用於對IP地址進行過濾，例如限制某一IP地址的訪問。

2、擴展ACL：基於源IP地址、目的IP地址、協議類型、埠號等多種條件進行匹配。擴展ACL適用於更加複雜的安全策略，例如限制訪問某一特定埠或限制某一應用程序的訪問。

3、規則集ACL：可同時對標準ACL和擴展ACL進行配置，多條規則按順序依次匹配，匹配成功後停止匹配。

三、ACL配置命令

1、標準ACL配置命令

#創建標準ACL
[huawei]acl number 2000
[huawei-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255
[huawei-acl-basic-2000]rule deny source 0.0.0.0 255.255.255.255
#將ACL應用於介面
[huawei]interface gigabitethernet 0/0/1
[huawei-GigabitEthernet0/0/1]ip address 10.1.1.1 24
[huawei-GigabitEthernet0/0/1]packet-filter 2000 inbound

說明：以上命令創建了一個編號為2000的標準ACL，允許源IP地址為10.1.1.0/24的數據包通過，拒絕所有其他IP地址的數據包。將ACL應用於GigabitEthernet0/0/1介面，數據包進入該埠時會被過濾。

2、擴展ACL配置命令

#創建擴展ACL
[huawei]acl number 3000
[huawei-acl-adv-3000]rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255 destination-port eq 80
[huawei-acl-adv-3000]rule deny ip source 0.0.0.0 255.255.255.255 destination 255.255.255.255
#將ACL應用於介面
[huawei]interface gigabitethernet 0/0/2
[huawei-GigabitEthernet0/0/2]ip address 10.2.2.1 24
[huawei-GigabitEthernet0/0/2]packet-filter 3000 inbound

說明：以上命令創建了一個編號為3000的擴展ACL，允許源IP地址為10.1.1.0/24、目的IP地址為10.2.2.0/24、協議類型為TCP，目的埠號為80的數據包通過，拒絕所有其他IP地址和協議類型的數據包。將ACL應用於GigabitEthernet0/0/2介面，數據包進入該埠時會被過濾。

3、規則集ACL配置命令

#創建規則集ACL
[huawei]acl number 4000
[huawei-acl-rule-4000]rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255 destination-port eq 80
[huawei-acl-rule-4000]rule 1 permit udp source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255 destination-port eq 53
[huawei-acl-rule-4000]rule 2 deny ip source 0.0.0.0 255.255.255.255 destination 255.255.255.255
#將ACL應用於介面
[huawei]interface gigabitethernet 0/0/3
[huawei-GigabitEthernet0/0/3]ip address 10.3.3.1 24
[huawei-GigabitEthernet0/0/3]packet-filter inbound acl rule 4000

說明：以上命令創建了一個編號為4000的規則集ACL，共有三條規則：第一條允許源IP地址為10.1.1.0/24、目的IP地址為10.2.2.0/24、協議類型為TCP，目的埠號為80的數據包通過；第二條允許源IP地址為10.1.1.0/24、目的IP地址為10.2.2.0/24、協議類型為UDP，目的埠號為53的數據包通過；第三條拒絕所有其他IP地址和協議類型的數據包。將ACL應用於GigabitEthernet0/0/3介面，數據包進入該埠時會被過濾。

四、ACL常用命令

1、查看ACL

[huawei]display acl 2000
[huawei]display acl 3000
[huawei]display acl 4000

2、查看介面上應用的ACL

[huawei]display interface gigabitethernet 0/0/1
[huawei]display interface gigabitethernet 0/0/2
[huawei]display interface gigabitethernet 0/0/3

3、刪除ACL

[huawei]undo acl number 2000
[huawei]undo acl number 3000
[huawei]undo acl number 4000

五、總結

ACL是網路設備中常用的安全配置之一，通過限制數據流的訪問，提高了網路的安全性。文章從ACL類型、配置命令、常用命令等多個方面進行了詳細的闡述，希望對大家在實際應用中使用ACL有所幫助。