当前位置：首页 > news >正文

[H3C]ACL在远程命令行的作用与配置

news 2026/6/11 12:51:57

本篇目录

ACL的作用
基本ACL类型
ACL配置命令
ACL规则参数说明
Telnet/SSH的ACL配置示例
ACL查看和管理
多级别访问控制
ACL配置注意事项
ACL不生效的检查步骤

ACL（Access Control List，访问控制列表）是网络设备中用于控制数据包转发的安全策略工具。

ACL的作用

流量过滤：控制哪些数据包可以通过设备
安全控制：限制网络访问权限，只允许特定IP登录
流量识别：为QoS、NAT等服务提供流量分类

基本ACL类型

ACL类型	编号范围	匹配依据	适用场景
基本ACL	2000-2999	源IP地址	简单的源IP控制
高级ACL	3000-3999	源/目的IP、协议、端口	精细化的流量控制

ACL配置命令

# 创建基本ACL 2000
[H3C] acl number 2000# 进入ACL规则配置视图
[H3C-acl-basic-2000]# 允许特定IP地址
[H3C-acl-basic-2000] rule permit source 192.168.1.100 0# 允许IP网段
[H3C-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255# 拒绝其他所有IP（隐式拒绝规则）
[H3C-acl-basic-2000] rule deny source any

ACL规则参数说明

rule [permit|deny] source [IP地址] [通配符掩码]# 示例说明：
rule permit source 192.168.1.100 0    # 只允许192.168.1.100
rule permit source 192.168.1.0 0.0.0.255  # 允许192.168.1.0/24网段
rule deny source any                  # 拒绝所有其他IP

Telnet/SSH的ACL配置示例

# 场景1：只允许管理网段192.168.10.0/24访问
# 1. 创建ACL
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255
[H3C-acl-basic-2000] rule deny source any
[H3C-acl-basic-2000] quit# 2. 应用到VTY线路
[H3C] user-interface vty 0 63
[H3C-line-vty0-63] acl 2000 inbound   # 应用ACL到入方向
[H3C-line-vty0-63] quit# 场景2：只允许特定管理机访问
# 只允许192.168.1.100和192.168.1.101登录
[H3C] acl number 2001
[H3C-acl-basic-2001] rule permit source 192.168.1.100 0
[H3C-acl-basic-2001] rule permit source 192.168.1.101 0
[H3C-acl-basic-2001] rule deny source any
[H3C-acl-basic-2001] quit[H3C] user-interface vty 0 63
[H3C-line-vty0-63] acl 2001 inbound# 场景3：高级ACL配置
# 创建高级ACL 3000
[H3C] acl number 3000# 只允许SSH访问，拒绝Telnet（更安全）
[H3C-acl-adv-3000] rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ssh
[H3C-acl-adv-3000] rule deny tcp source any destination-port eq telnet
[H3C-acl-adv-3000] rule deny tcp source any destination-port eq 22
[H3C-acl-adv-3000] quit

ACL查看和管理命令

# 查看所有ACL配置
<H3C> display acl all# 查看特定ACL的规则
<H3C> display acl 2000# 查看ACL应用情况
<H3C> display packet-filter# 查看接口的ACL应用
<H3C> display interface GigabitEthernet 0/0# 查看ACL匹配统计（了解流量情况）
<H3C> display acl 2000 statistics

多级别访问控制

# 不同VTY线路应用不同ACL
[H3C] user-interface vty 0 4      # 普通操作员线路
[H3C-line-vty0-4] acl 2001 inbound  # 只能从办公网访问[H3C] user-interface vty 5 15     # 管理员线路
[H3C-line-vty5-15] acl 2002 inbound  # 可以从管理网段访问

ACL配置注意事项

先写允许规则，最后拒绝，ACL按规则序号从小到大匹配，配置后及时测试效

# 错误：忘记最后的deny any规则
rule permit source 192.168.1.100 0
# 缺少：rule deny source any → 其他IP默认允许# 错误：规则顺序不当
rule deny source any
rule permit source 192.168.1.100 0  # 这条规则永远不会匹配到

ACL不生效的检查步骤

# 1. 检查ACL规则
display acl 2000# 2. 检查ACL应用情况
display user-interface vty 0# 3. 检查匹配统计（看是否有命中）
display acl 2000 statistics# 4. 检查源IP是否在允许范围内
ping 192.168.1.100  # 测试连通性

查看全文

http://www.zskr.cn/news/49114.html