文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >华为ACL 原理与配置知识点总结及案例

华为ACL 原理与配置知识点总结及案例

原创
作者头像
知孤云出岫
发布2025-05-21 18:09:39
发布2025-05-21 18:09:39
5880
举报

📘 第12章:ACL 原理与配置知识点总结

✅ 一、ACL 技术背景与作用

🎯 应用背景

  • 现代网络面临安全和QoS挑战,需有机制精准控制数据流。
  • ACL(Access Control List)是典型的报文过滤技术,实现流量的精细控制。

📌 ACL的典型应用场景

  • 防止非法访问、网络攻击;
  • QoS流分类;
  • 路由策略匹配条件;
  • NAT地址转换匹配条件;
  • 防火墙策略;
  • 精细化控制业务访问行为。

✅ 二、ACL 原理与组成结构

📍 ACL基本组成

ACL 是由一组有序的规则列表构成,规则由以下元素组成:

元素

描述

Rule ID

每条规则编号(支持插入)

动作

permit(允许)或 deny(拒绝)

匹配条件

如源IP、目的IP、协议、端口等

通配符

0 表示精确匹配,1 表示任意

📌 注意:

  • 系统自动在末尾隐含一条“deny all”规则
  • 匹配采用“顺序优先,命中即停”原则。

✅ 三、通配符详解(Wildcard Mask)

表达形式

含义说明

0.0.0.0

完全精确匹配(=ip)

0.0.0.255

匹配某子网,例如/24

255.255.255.255

匹配任意IP(等价于any)

0.0.0.254

匹配192.168.1.1/24网段的奇数地址

🧠 说明:

  • 通配符的“1”代表该位可任意,“0”代表必须严格匹配;
  • 不等同于子网掩码!

✅ 四、ACL 分类与编号范围

类型

编号范围

特点描述

基本ACL

2000~2999

仅匹配源IP地址

高级ACL

3000~3999

匹配源/目的IP、协议、端口

二层ACL

4000~4999

匹配MAC、二层类型

用户自定义ACL

5000~5999

基于报文偏移、掩码、字符串匹配

用户ACL

6000~6999

支持用户组匹配、端口、协议等

👉 数字型 ACL 与命名型 ACL(name-based)均支持配置。

✅ 五、ACL 匹配逻辑与流程

📌 匹配流程图概览:

代码语言:bash
复制
开始 → 检查ACL是否存在 → 是否含有规则 → 依次匹配规则 →
若匹配 → 是否permit? → 是:通过 / 否:拒绝
未命中任何规则 → 默认deny all
  • 规则编号越小越优先匹配
  • 建议步长设为5(可中间插入规则)

✅ 六、ACL 应用方向

方向

说明

Inbound

报文进入接口前过滤(常用)

Outbound

报文离开接口前过滤

⚠ 不同接口方向部署 ACL 对结果影响很大!

✅ 七、ACL 基本配置方法(华为设备)

🔹 创建ACL:

代码语言:bash
复制
[Huawei] acl 2000           # 创建基本ACL
[Huawei] acl 3000           # 创建高级ACL

🔹 添加规则:

代码语言:bash
复制
[Huawei-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000] rule 10 permit source any

[Huawei-acl-adv-3000] rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

🔹 应用ACL到接口:

代码语言:bash
复制
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

✅ 八、配置案例分析

✅ 案例1:使用基本ACL禁止访问特定网段

要求禁止192.168.1.0/24用户访问服务器

代码语言:bash
复制
[Huawei] acl 2000
[Huawei-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000] rule permit source any
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

✅ 案例2:使用高级ACL实现双向隔离

拒绝研发部(10.1.1.0)访问市场部(10.1.2.0)及反向流量

代码语言:bash
复制
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Huawei] acl 3002
[Huawei-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3002

✅ 九、本章小结

核心知识点

说明

ACL作用

精准流控、流量过滤、安全策略

匹配原则

自上而下,命中即止

通配符概念

0严格匹配,1为任意

ACL分类

基本、高级、二层、自定义、用户ACL

应用场景

接口入/出方向、NAT/QoS/防火墙

以下是《第12章:ACL原理与配置》的配套章节题库,题型覆盖选择题、判断题、简答题与综合题,适合巩固核心知识点、练习应用能力、模拟考试等场景。

🧪 第12章 ACL原理与配置 – 配套章节题库

✅ 一、单项选择题(每题2分)

代码语言:bash
复制
1. ACL的主要作用是:
   A. 分配IP地址
   B. 控制流量与访问权限
   C. 提供DNS服务
   D. 配置VLAN
   ✅ **答案:B**

2. 以下哪项不属于ACL的典型应用?
   A. 流量过滤
   B. 地址转换
   C. 设备身份认证
   D. 防火墙策略匹配
   ✅ **答案:C**

3. 在ACL通配符中,0表示:
   A. 不可匹配
   B. 必须匹配
   C. 任意值
   D. 忽略此位
   ✅ **答案:B**

4. 高级ACL与基本ACL最大的区别是:
   A. 可应用于出方向
   B. 可过滤广播报文
   C. 可匹配更多维度,如协议与端口
   D. 自动生成规则
   ✅ **答案:C**

5. 默认情况下,ACL的未命中行为是:
   A. 全部放行
   B. 自动拒绝
   C. 系统提示
   D. 自动跳转下一ACL
   ✅ **答案:B**

✅ 二、判断题(每题1分)

代码语言:bash
复制
1.(✔)ACL规则是自上而下顺序匹配的,命中即停止。
2.(✘)ACL只支持过滤IP地址,不能匹配端口或协议。
3.(✔)在接口应用ACL时,入方向指的是数据进入设备前被过滤。
4.(✔)系统默认在ACL末尾添加“deny all”规则。
5.(✘)ACL只适用于交换机接口,不能用于路由器上。

✅ 三、简答题(每题5分)

  1. 简述ACL的主要作用与典型使用场景。 参考答案:
  • 作用:控制网络中允许或拒绝的数据流;
  • 场景包括防火墙策略、安全控制、NAT匹配、QoS流分类、用户隔离等。
  1. 请写出ACL配置的匹配流程并说明通配符的作用。 参考答案:
  • 匹配流程为顺序匹配 → 命中 → 执行动作(permit/deny) → 退出;
  • 通配符用于IP匹配控制,0表示精确匹配,1表示任意值,决定ACL匹配的粒度。
  1. 举例说明基本ACL和高级ACL的配置区别。 参考答案:
  2. 基本ACL仅匹配源IP:
代码语言:bash
复制
  [Huawei] acl 2000
     [Huawei-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
  • 高级ACL匹配更多维度:
代码语言:bash
复制
[Huawei] acl 3000
     [Huawei-acl-adv-3000] rule deny tcp source 192.168.1.0 0.0.0.255 destination-port eq 80

✅ 四、综合题 / 场景题(每题10分)

场景:

某公司网络结构如下:

  • 研发部:IP段 192.168.10.0/24,接入GE0/0/1
  • 财务部:IP段 192.168.20.0/24,接入GE0/0/2
  • 要求:禁止研发访问财务,但允许财务访问研发。

问题:

  1. 应使用哪种ACL?
  2. 配置过程包括哪些命令?
  3. 若将ACL用于入方向,是否仍能实现?

参考答案:

  1. 应使用高级ACL(匹配源/目的IP);
  2. 配置如下:
代码语言:bash
复制
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[Huawei-acl-adv-3001] rule permit ip source any destination any
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GE0/0/1] traffic-filter inbound acl 3001
  1. 可以,只需将ACL应用在研发接入接口的入方向,即可拦截其发起的数据。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络通信
acl

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络通信
acl
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • 📘 第12章:ACL 原理与配置知识点总结
    • ✅ 一、ACL 技术背景与作用
      • 🎯 应用背景
      • 📌 ACL的典型应用场景
    • ✅ 二、ACL 原理与组成结构
      • 📍 ACL基本组成
    • ✅ 三、通配符详解(Wildcard Mask)
    • ✅ 四、ACL 分类与编号范围
    • ✅ 五、ACL 匹配逻辑与流程
      • 📌 匹配流程图概览:
    • ✅ 六、ACL 应用方向
    • ✅ 七、ACL 基本配置方法(华为设备)
      • 🔹 创建ACL:
      • 🔹 添加规则:
      • 🔹 应用ACL到接口:
    • ✅ 八、配置案例分析
      • ✅ 案例1:使用基本ACL禁止访问特定网段
      • ✅ 案例2:使用高级ACL实现双向隔离
    • ✅ 九、本章小结
  • 🧪 第12章 ACL原理与配置 – 配套章节题库
    • ✅ 一、单项选择题(每题2分)
    • ✅ 二、判断题(每题1分)
    • ✅ 三、简答题(每题5分)
    • ✅ 四、综合题 / 场景题(每题10分)
      • 场景:
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论