交换机ACL功能怎样过滤流量_交换机ACL规则编写与应用【示例】

交换机ACL功能通过匹配IP/MAC/端口等字段实现流量过滤，含高级ACL跨网段管控、二层ACL禁MAC、VACL同VLAN隔离、time-range时段策略及PACL端口级拦截五类典型应用。

Inworld.ai

InWorldAI是一个AI角色开发平台，开发者可以创建具有自然语言、上下文意识和多模态的AI角色，并可以继承到游戏和实时媒体中

178

查看详情

交换机ACL功能通过匹配报文的源/目的IP地址、端口号、协议类型、MAC地址等字段，对流经设备的数据包执行允许或拒绝操作。以下是实现流量过滤的具体方法与典型配置示例：

一、基于高级ACL限制跨网段访问（设备）

高级ACL（编号3000–3999）支持四层信息匹配，适用于精确控制TCP/UDP/ICMP等协议的访问行为，常用于部门隔离或服务端口管控。

1、进入系统视图并创建命名高级ACL：
[HUAWEI] acl name BLOCK_FTP 3001

2、配置拒绝FTP控制端口（TCP 21）的规则：
[HUAWEI-acl-adv-BLOCK_FTP] rule 5 deny tcp destination-port eq 21

3、配置拒绝FTP数据端口范围（TCP 20及被动模式常用端口）：
[HUAWEI-acl-adv-BLOCK_FTP] rule 10 deny tcp destination-port range 20 20
[HUAWEI-acl-adv-BLOCK_FTP] rule 15 deny tcp destination-port range 1024 65535

4、放行其余所有流量（ACL默认隐含deny all，必须显式permit）：
[HUAWEI-acl-adv-BLOCK_FTP] rule 100 permit ip

5、在三层接口（如VLANIF 10）入方向应用该ACL：
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] traffic-filter inbound acl BLOCK_FTP

二、使用二层ACL禁止特定MAC地址上网

二层ACL（编号4000–4999）直接匹配以太网帧头字段，不依赖IP层，可有效阻断未分配IP或伪造IP的非法终端接入。

1、创建二层ACL并进入其视图：
[HUAWEI] acl 4001

2、拒绝指定源MAC地址的所有帧（格式为XXXX-XXXX-XXXX）：
[HUAWEI-acl-L2-4001] rule 5 deny source-mac 0011-2233-4455

3、允许其他所有MAC地址的帧通过：
[HUAWEI-acl-L2-4001] rule 10 permit

4、在物理接口GE0/0/5上应用该ACL于入方向：
[HUAWEI] interface gigabitethernet 0/0/5
[HUAWEI-GigabitEthernet0/0/5] traffic-filter inbound acl 4001

三、通过VLAN ACL（VACL）实现同VLAN内主机隔离

VACL作用于VLAN内部转发路径，可控制同一广播域中不同主机间的二层通信，且需同时匹配入向与出向流量，优先级高于RACL。

1、定义扩展ACL匹配双向ICMP流量：
[HUAWEI] ip access-list extended VA-ICMP
[HUAWEI-ip-ac-ext-VA-ICMP] permit icmp host 192.168.10.10 host 192.168.10.20
[HUAWEI-ip-ac-ext-VA-ICMP] permit icmp host 192.168.10.20 host 192.168.10.10

2、创建VLAN access-map并绑定ACL：
[HUAWEI] vlan access-map VA-PROTECT 10
[HUAWEI-vlan-access-map-VA-PROTECT-10] match ip address VA-ICMP
[HUAWEI-vlan-access-map-VA-PROTECT-10] action drop

3、将access-map应用至目标VLAN（如VLAN 10）：
[HUAWEI] vlan filter VA-PROTECT vlan-list 10

四、利用时间段（time-range）实现策略按需生效

ACL规则可绑定时间范围，使访问控制仅在指定时段内激活，适用于办公时间管控、维护窗口限制等场景。

1、创建绝对时间范围（例如：2025年全年每日0:00–6:00）：
[HUAWEI] time-range NIGHT_ACCESS
[HUAWEI-time-range-NIGHT_ACCESS] absolute-range 0:0 2025/1/1 to 6:00 2025/12/31

2、创建周期时间范围（例如：每周一至周五18:00–22:00）：
[HUAWEI] time-range WORK_HOUR
[HUAWEI-time-range-WORK_HOUR] periodic daily 18:00 to 22:00

3、在高级ACL规则中引用该时间范围：
[HUAWEI] acl name TIME_BASED 3002
[HUAWEI-acl-adv-TIME_BASED] rule 5 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.100.0 0.0.0.255 time-range WORK_HOUR

4、应用该ACL至对应接口：
[HUAWEI] interface vlanif 5
[HUAWEI-Vlanif5] traffic-filter outbound acl TIME_BASED

五、基于PACL实现端口级入向精准拦截

PACL（Port ACL）直接绑定在物理或逻辑接口上，仅支持in方向，具有最高匹配优先级，适用于终端侧即时封禁。

1、创建扩展ACL并定义拒绝规则：
[HUAWEI] ip access-list extended PACL_BLOCK
[HUAWEI-ip-ac-ext-PACL_BLOCK] deny udp source 172.16.20.5 0 destination-port eq 53
[HUAWEI-ip-ac-ext-PACL_BLOCK] permit ip any any

2、在接入端口GE0/0/23上启用PACL：
[HUAWEI] interface gigabitethernet 0/0/23
[HUAWEI-GigabitEthernet0/0/23] ip access-group PACL_BLOCK in

3、验证PACL是否生效：
[HUAWEI] display traffic-filter applied-record interface gigabitethernet 0/0/23

注意：PACL不支持out方向，且不能与QoS策略在同一接口in方向共存；若已配置QoS inbound，请先删除再应用PACL

以上就是交换机ACL功能怎样过滤流量_交换机ACL规则编写与应用【示例】的详细内容，更多请关注php中文网其它相关文章！