网络工程师必修:三层架构ACL部署铁律(华为设备配置模板)

2026年01月26日/ 浏览 11

首页 公司动态 文章详情

大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:

1、交换机/路由器疑难故障处理方案

2、网络架构优化与安全防护实战技巧

3、中小企业低成本智能组网案例解析

点击右上角【关注】每日更新深度技术指南,

长按【收藏】 搭建你的专属运维知识库,

点亮文末小红心,激励飞哥创作更多硬核内容。

特别提醒:网络运维问题常有突发性,建议将本文加入收藏,遇到设备配置、链路故障、卡顿、数据丢包等问题时,随时可调取解决方案!

网络架构图如下:

一、三层网络架构中ACL的部署策略

在三层网络架构(核心层-汇聚层-接入层)中,ACL建议部署在汇聚层设备(如华为S系列交换机),原因如下:

1、策略集中管理

汇聚层是连接不同VLAN/子网的枢纽,可统一控制跨区域流量。

2、性能优化

避免在核心层配置复杂ACL影响转发效率,同时比接入层更灵活。

3、场景适配

适合企业常见需求(如部门间互访控制、服务器安全防护)。

二、华为设备汇聚层ACL配置步骤

以下以华为S5735-L48T4S-A为例,演示三层架构中ACL的配置流程:

注:

这里只贴出了汇聚层的配置,关于 接入层,核心出口路由的配置,请参照我的上一篇文章

三层架构配置总失败?eNSP保姆级搭建指南(附拓扑+排错命令集)

1. 配置基础网络

#创建vlan vlan batch 6 to 8 100 # #配置各个vlan的ip ,作为各个valn 的网关 interface Vlanif6 ip address 192.168.6.1 255.255.255.0 # interface Vlanif7 ip address 192.168.7.1 255.255.255.0 # interface Vlanif8 ip address 192.168.8.1 255.255.255.0 #配置与路由器接口所属vlan的ip地址 interface Vlanif100 ip address 192.168.1.2 255.255.255.0 #置接口模式,并将相应的接口加入到各自所属vlan中 interface GigabitEthernet0/0/1 port link-type access port default vlan 100 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 6 to 8 # #配置静态路由到路由器 # ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 # #开启DHCP功能 # dhcp enable # #配置地址池 # ip pool vlan8_pool gateway-list 192.168.8.1 network 192.168.8.0 mask 255.255.255.0 excluded-ip-address 192.168.8.1 192.168.8.10 lease day 3 hour 0 minute 0 dns-list 8.8.8.8 114.114.114.114 # # 在VLANIF接口关联地址池 interface Vlanif8 dhcp select global #

2. 创建高级ACL(控制研发部访问服务器)

# 创建高级ACL 3000 acl number 3000 description R&D_TO_SERVER # 允许研发部访问服务器区80端口 rule 5 permit tcp source 192.168.8.0 0.0.0.255 destination 172.16.100.0 0.0.0.255 destination-port eq 80 # 拒绝研发部访问服务器区其他端口 rule 10 deny tcp source 192.168.8.0 0.0.0.255 destination 172.16.100.0 0.0.0.255 # 允许其他流量(如管理协议) rule 20 permit ip

3. 应用ACL到VLAN接口

# 在Vlanif8出方向应用ACL interface Vlanif8 traffic-filter outbound acl 3000

4. 配置基本ACL(限制管理流量)

# 创建基本ACL 2000,允许特定IP远程管理 acl number 2000 rule 5 permit source 192.168.8.100 0 # 运维主机IP rule 10 deny source any # 默认拒绝其他IP # 在VTY接口应用ACL user-interface vty 0 4 acl 2000 inbound

5. 验证配置

# 查看ACL规则 display acl 3000 # 检查接口流量统计 display traffic-filter statistics interface Vlanif10

三、配置注意事项

1、ACL匹配顺序

华为设备默认按规则ID从小到大匹配,需确保精确规则在前。

2、方向选择

控制流出VLAN的流量 → 配置在出方向(outbound)。

控制流入VLAN的流量 → 配置在入方向(inbound)。

3、隐含拒绝

ACL末尾隐含deny ip规则,需添加允许其他流量的规则。

4、时间策略

可结合time-range配置时段性控制(如非工作时间禁止访问)。

四、故障排查命令

1、抓包验证

# 在接口抓包并匹配ACL traffic analyzer interface Vlanif8 inbound acl 3000

2、日志分析:

# 开启ACL命中日志 acl number 3000 rule 5 permit tcp ... logging

通过以上配置,可在汇聚层实现精细化的流量控制,平衡安全性与网络性能。实际部署时需根据业务需求调整规则优先级和方向。

picture loss