1. ACL 概述

ACL（Access Control List，访问控制列表）是一种基于包过滤的访问控制技术，它能够根据设定的规则对网络中的数据包进行过滤，允许或拒绝特定的数据包通过交换机端口，从而增强网络的安全性和可控性。

2. H3C 交换机 ACL 类型

基本 ACL（2000 - 2999）

主要根据数据包的源 IP 地址进行过滤。适用于对源 IP 地址进行简单访问控制的场景，例如禁止某个 IP 段的设备访问网络。

高级 ACL（3000 - 3999）

可以根据源 IP 地址、目的 IP 地址、协议类型（如 TCP、UDP、ICMP 等）、端口号等多种条件进行过滤，功能更为强大和灵活，常用于对特定服务或应用的访问控制。

二层 ACL（4000 - 4999）

基于以太网帧的源 MAC 地址、目的 MAC 地址、以太网帧类型等二层信息进行过滤，可用于限制特定 MAC 地址的设备接入网络。

用户自定义 ACL

允许用户根据特定需求自定义过滤规则，满足一些特殊的访问控制场景。

3. ACL 设计原则

最小化原则：只允许必要的流量通过，拒绝其他所有不必要的流量，从而降低网络安全风险。例如，如果某部门只需要访问外部的 Web 服务器，那么就只允许该部门设备访问外部服务器的 80 和 443 端口，其他端口则全部拒绝。

可管理性原则：规则应简洁明了，易于理解和维护。避免规则过于复杂，导致难以排查故障和进行修改。可以将相关的规则进行分组，便于管理。

顺序性原则：ACL 规则是按照从上到下的顺序进行匹配的，一旦匹配到某条规则，就会执行该规则对应的动作，不再继续向下匹配。因此，要将较为严格和具体的规则放在前面，宽泛的规则放在后面。

4. ACL 设计步骤

步骤一：明确网络需求和安全策略

了解网络中不同用户、设备或部门的访问需求，例如哪些用户可以访问哪些服务器，哪些服务是允许对外提供的等。同时，根据企业的安全策略，确定需要限制的访问行为，如禁止某些 IP 段访问敏感信息。

步骤二：选择合适的 ACL 类型

根据过滤条件的需求选择合适的 ACL 类型。如果只需要根据源 IP 地址过滤，选择基本 ACL；如果需要更复杂的过滤条件，如根据目的 IP 和端口号过滤，则选择高级 ACL。

步骤三：配置 ACL 规则

以下是一些常见的配置示例：

基本 ACL 配置示例：禁止 IP 地址为 192.168.X.100 的设备访问网络

<H3C> system-view [H3C] acl basic 2001 [H3C-acl-basic-2001] rule deny source 192.168.1.100 0 [H3C-acl-basic-2001] rule permit source any # 允许其他所有源IP的流量通过 [H3C-acl-basic-2001] quit

高级 ACL 配置示例：只允许内部网络（192.168.X.0/24）的设备访问外部 Web 服务器（202.100.X.1）的 80 端口

<H3C> system-view [H3C] acl advanced 3001 [H3C-acl-adv-3001] rule permit tcp source 192.168.1.0 0.0.0.255 destination 202.100.1.1 0 destination-port eq 80 [H3C-acl-adv-3001] rule deny ip source any destination any # 拒绝其他所有流量 [H3C-acl-adv-3001] quit

步骤四：应用 ACL 到端口

将配置好的 ACL 应用到相应的交换机端口上，以实现对端口流量的过滤。

入方向应用示例：将基本 ACL 2001 应用到端口 GigabitEthernet 1/0/1 的入方向

[H3C] interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter inbound acl 2001 [H3C-GigabitEthernet1/0/1] quit

出方向应用示例：将高级 ACL 3001 应用到端口 GigabitEthernet 1/0/2 的出方向

[H3C] interface GigabitEthernet 1/0/2 [H3C-GigabitEthernet1/0/2] packet-filter outbound acl 3001 [H3C-GigabitEthernet1/0/2] quit

5. 设计注意事项

1）规则冲突。避免配置相互冲突的规则，否则可能导致预期之外的流量被允许或拒绝。在添加新规则时，要仔细检查是否与现有规则冲突。

2）资源消耗。过多的 ACL 规则会增加交换机的处理负担，影响设备的性能。因此，要尽量精简规则，避免不必要的规则。

3）测试验证。在将 ACL 应用到生产环境之前，一定要在测试环境中进行充分的测试，验证规则是否达到预期的过滤效果。同时，在生产环境应用后，也要密切关注网络运行情况，及时发现并解决问题。