交换机ACL功能通过匹配IP/MAC/端口等字段实现流量过滤,含高级ACL跨网段管控、二层ACL禁MAC、VACL同VLAN隔离、time-range时段策略及PACL端口级拦截五类典型应用。
交换机ACL功能通过匹配报文的源/目的IP地址、端口号、协议类型、MAC地址等字段,对流经设备的数据包执行允许或拒绝操作。以下是实现流量过滤的具体方法与典型配置示例:
一、基于高级ACL限制跨网段访问(设备)
高级ACL(编号3000–3999)支持四层信息匹配,适用于精确控制TCP/UDP/ICMP等协议的访问行为,常用于部门隔离或服务端口管控。
1、进入系统视图并创建命名高级ACL:
[HUAWEI] acl name BLOCK_FTP 3001
2、配置拒绝FTP控制端口(TCP 21)的规则:
[HUAWEI-acl-adv-BLOCK_FTP] rule 5 deny tcp destination-port eq 21
3、配置拒绝FTP数据端口范围(TCP 20及被动模式常用端口):
[HUAWEI-acl-adv-BLOCK_FTP] rule 10 deny tcp destination-port range 20 20
[HUAWEI-acl-adv-BLOCK_FTP] rule 15 deny tcp destination-port range 1024 65535
4、放行其余所有流量(ACL默认隐含deny all,必须显式permit):
[HUAWEI-acl-adv-BLOCK_FTP] rule 100 permit ip
5、在三层接口(如VLANIF 10)入方向应用该ACL:
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] traffic-filter inbound acl BLOCK_FTP
二、使用二层ACL禁止特定MAC地址上网
二层ACL(编号4000–4999)直接匹配以太网帧头字段,不依赖IP层,可有效阻断未分配IP或伪造IP的非法终端接入。
1、创建二层ACL并进入其视图:
[HUAWEI] acl 4001
2、拒绝指定源MAC地址的所有帧(格式为XXXX-XXXX-XXXX):
[HUAWEI-acl-L2-4001] rule 5 deny source-mac 0011-2233-4455
3、允许其他所有MAC地址的帧通过:
[HUAWEI-acl-L2-4001] rule 10 permit
4、在物理接口GE0/0/5上应用该ACL于入方向:
[HUAWEI] interface gigabitethernet 0/0/5
[HUAWEI-GigabitEthernet0/0/5] traffic-filter inbound acl 4001
三、通过VLAN ACL(VACL)实现同VLAN内主机隔离
VACL作用于VLAN内部转发路径,可控制同一广播域中不同主机间的二层通信,且需同时匹配入向与出向流量,优先级高于RACL。
1、定义扩展ACL匹配双向ICMP流量:
[HUAWEI] ip access-list extended VA-ICMP
[HUAWEI-ip-ac-ext-VA-ICMP] permit icmp host 192.168.10.10 host 192.168.10.20
[HUAWEI-ip-ac-ext-VA-ICMP] permit icmp host 192.168.10.20 host 192.168.10.10
2、创建VLAN access-map并绑定ACL:
[HUAWEI] vlan access-map VA-PROTECT 10
[HUAWEI-vlan-access-map-VA-PROTECT-10] match ip address VA-ICMP
[HUAWEI-vlan-access-map-VA-PROTECT-10] action drop
3、将access-map应用至目标VLAN(如VLAN 10):
[HUAWEI] vlan filter VA-PROTECT vlan-list 10
四、利用时间段(time-range)实现策略按需生效
ACL规则可绑定时间范围,使访问控制仅在指定时段内激活,适用于办公时间管控、维护窗口限制等场景。
1、创建绝对时间范围(例如:2025年全年每日0:00–6:00):
[HUAWEI] time-range NIGHT_ACCESS
[HUAWEI-time-range-NIGHT_ACCESS] absolute-range 0:0 2025/1/1 to 6:00 2025/12/31
2、创建周期时间范围(例如:每周一至周五18:00–22:00):
[HUAWEI] time-range WORK_HOUR
[HUAWEI-time-range-WORK_HOUR] periodic daily 18:00 to 22:00
3、在高级ACL规则中引用该时间范围:
[HUAWEI] acl name TIME_BASED 3002
[HUAWEI-acl-adv-TIME_BASED] rule 5 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.100.0 0.0.0.255 time-range WORK_HOUR
4、应用该ACL至对应接口:
[HUAWEI] interface vlanif 5
[HUAWEI-Vlanif5] traffic-filter outbound acl TIME_BASED
五、基于PACL实现端口级入向精准拦截
PACL(Port ACL)直接绑定在物理或逻辑接口上,仅支持in方向,具有最高匹配优先级,适用于终端侧即时封禁。
1、创建扩展ACL并定义拒绝规则:
[HUAWEI] ip access-list extended PACL_BLOCK
[HUAWEI-ip-ac-ext-PACL_BLOCK] deny udp source 172.16.20.5 0 destination-port eq 53
[HUAWEI-ip-ac-ext-PACL_BLOCK] permit ip any any
2、在接入端口GE0/0/23上启用PACL:
[HUAWEI] interface gigabitethernet 0/0/23
[HUAWEI-GigabitEthernet0/0/23] ip access-group PACL_BLOCK in
3、验证PACL是否生效:
[HUAWEI] display traffic-filter applied-record interface gigabitethernet 0/0/23
注意:PACL不支持out方向,且不能与QoS策略在同一接口in方向共存;若已配置QoS inbound,请先删除再应用PACL
