举例：

• 例1：在流策略中应用ACL，使设备对192.168.1.0/24网段的报文进行过滤，拒绝192.168.1.2和192.168.1.3主机地址的报文通过，允许192.168.1.0/24网段的其他地址的报文通过。

  流策略的ACL默认动作为permit，该例属于“deny少部分报文，permit大部分报文”的情况，所以只需配置rule deny xxx。

  #
  acl number 2000
  rule 5 deny source 192.168.1.2 0
  rule 10 deny source 192.168.1.3 0
  #

• 例2：在流策略中应用ACL，使设备对192.168.1.0/24网段的报文进行过滤，允许192.168.1.2和192.168.1.3主机地址的报文通过，拒绝192.168.1.0/24网段的其他地址的报文通过。

  流策略的ACL默认动作为permit，该例属于“permit少部分报文，deny大部分报文”的情况，所以需先配置rule permit xxx，再配置rule deny xxxx。

  #
  acl number 2000
  rule 5 permit source 192.168.1.2 0
  rule 10 permit source 192.168.1.3 0
  rule 15 deny source 192.168.1.0 0.0.0.255
  #

• 例3：在Telnet中应用ACL，仅允许管理员主机（IP地址为172.16.105.2）能够Telnet登录设备，其他用户不允许Telnet登录。

  Telnet的ACL默认动作为deny，该例属于“permit少部分报文，deny大部分报文”的情况，所以只需配置rule permit xxx。

  #
  acl number 2000
  rule 5 permit source 172.16.105.2 0
  #    

• 例4：在Telnet中应用ACL，不允许某两台主机（IP地址为172.16.105.3和172.16.105.4）Telnet登录设备，其他用户均允许Telnet登录。

  Telnet的ACL默认动作为deny，该例属于“deny少部分报文，permit大部分报文”的情况，所以需先配置rule deny xxx，再配置rule permit。

  #
  acl number 2000
  rule 5 deny source 172.16.105.3 0
  rule 10 deny source 172.16.105.4 0
  rule 15 permit
  #    

• 例5：在FTP中应用ACL，不允许用户在周六的00:00～8:00期间访问FTP服务器，允许用户在其他任意时间访问FTP服务器。

  FTP的ACL默认动作为deny，该例属于“deny少部分报文，permit大部分报文”的情况，所以需先配置rule deny xxx，再配置rule permit xxxx。

  #
  time-range t1 00:00 to 08:00 Sat
  time-range t2 00:00 to 23:59 daily
  #
  acl number 2000
  rule 5 deny time-range t1
  rule 10 permit time-range t2
  #

6、ACL常用的匹配项 

设备支持的ACL匹配项种类非常丰富，其中最常用的匹配项包括以下几种。

生效时间段

格式：time-range time-name

所有ACL均支持根据生效时间段过滤报文。关于生效时间段的详细介绍，请参见ACL的生效时间段。

IP承载的协议类型

格式：protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf

高级ACL支持基于协议类型过滤报文。常用的协议类型包括：ICMP（协议号1）、TCP（协议号6）、UDP（协议号17）、GRE（协议号47）、IGMP（协议号2）、IP（指任何IP层协议）、IPinIP（协议号4）、OSPF（协议号89）。协议号的取值可以是1～255。

例如，当设备某个接口下的用户存在大量的攻击者时，如果希望能够禁止这个接口下的所有用户接入网络，则可以通过指定协议类型为IP来屏蔽这些用户的IP流量来达到目的。配置如下：

rule deny ip //表示拒绝IP报文通过

再如，设备上打开透明防火墙功能后，在缺省情况下，透明防火墙会在域间丢弃所有入域间的报文，包括业务报文和协议报文。如果希望像OSPF这样的动态路由协议报文能正常通过防火墙，保证路由互通，这时，通过指定协议类型为OSPF即可解决问题。

rule permit ospf  //表示允许OSPF报文通过

源/目的IP地址及其通配符掩码

源IP地址及其通配符掩码格式：source { source-address source-wildcard | any }

目的IP地址及其通配符掩码格式：

destination { destination-address destination-wildcard | any }

基本ACL支持根据源IP地址过滤报文，高级ACL不仅支持源IP地址，还支持根据目的IP地址过滤报文。

将源/目的IP地址定义为规则匹配项时，需要在源/目的IP地址字段后面同时指定通配符掩码，用来与源/目的IP地址字段共同确定一个地址范围。

IP地址通配符掩码与IP地址的反向子网掩码类似，也是一个32比特位的数字字符串，用于指示IP地址中的哪些位将被检查。各比特位中，“0”表示“检查相应的位”，“1”表示“不检查相应的位”，概括为一句话就是“检查0，忽略1”。但与IP地址子网掩码不同的是，子网掩码中的“0”和“1”要求必须连续，而通配符掩码中的“0”和“1”可以不连续。

通配符掩码可以为0，相当于0.0.0.0，表示源/目的地址为主机地址；也可以为255.255.255.255，表示任意IP地址，相当于指定any参数。

举一个IP地址通配符掩码的示例，当希望来自192.168.1.0/24网段的所有IP报文都能够通过，可以配置如下规则：

rule 5 permit ip source 192.168.1.0 0.0.0.255

规则中的通配符掩码为0.0.0.255，表示只需检查IP地址的前三组二进制八位数对应的比特位。因此，如果报文源IP地址的前24个比特位与参照地址的前24个比特位（192.168.1）相同，即报文的源IP地址是192.168.1.0/24网段的地址，则允许该报文通过。下表 展示了该例的地址范围计算过程。

更多的IP地址与通配符掩码共同确定的地址范围示例，详见下表。

源/目的MAC地址及其通配符掩码

源MAC地址及其通配符掩码格式：source-mac source-mac-address [ source-mac-mask ]

目的地址及其通配符掩码格式：destination-mac dest-mac-address [ dest-mac-mask ]

仅二层ACL支持基于源/目的MAC地址过滤报文。

将源/目的MAC地址定义为规则匹配项时，可以在源/目的MAC地址字段后面同时指定通配符掩码，用来与源/目的MAC地址字段共同确定一个地址范围。

MAC地址通配符掩码的格式与MAC地址相同，采用十六进制数表示，共六个字节（48位），用于指示MAC地址中的哪些位将被检查。与IP地址通配符掩码不同的是，MAC地址通配符掩码各比特位中，1表示“检查相应的位”，0表示“不检查相应的位”。如果不指定通配符掩码，则默认掩码为ffff-ffff-ffff，表示检查MAC地址的每一位。

MAC地址与通配符掩码共同确定的地址范围示例，如表所示。

VLAN编号及其掩码

外层VLAN及其掩码格式：vlan-id vlan-id [ vlan-id-mask ]

内层VLAN及其掩码格式：cvlan-id cvlan-id [ cvlan-id-mask ]

二层ACL支持基于外层VLAN或内层VLAN编号过滤报文。

将VLAN编号定义为规则匹配项时，可以在VLAN编号字段后面同时指定VLAN掩码，用来与VLAN编号字段共同确定一个VLAN范围。

VLAN掩码的格式是十六进制形式，取值范围是0x0～0xFFF。如果不指定VLAN掩码，则默认掩码为0xFFF，表示检查VLAN编号的每一位。

VLAN编号与掩码共同确定的VLAN范围示例，如表所示。

TCP/UDP端口号

源端口号格式：source-port { eq port | gt port | lt port | range port-start port-end }

目的端口号格式：destination-port { eq port | gt port | lt port | range port-start port-end }

在高级ACL中，当协议类型指定为TCP或UDP时，设备支持基于TCP/UDP的源/目的端口号过滤报文。

其中，TCP/UDP端口号的比较符含义如下：

• eq port：指定等于源/目的端口。

• gt port：指定大于源/目的端口。

• lt port：指定小于源/目的端口。

• range port-start port-end：指定源/目的端口的范围。port-start是端口范围的起始，port-end是端口范围的结束。

TCP/UDP端口号可以使用数字表示，也可以用字符串（助记符）表示。例如，rule deny tcp destination-port eq 80，可以用rule deny tcp destination-port eq www替代。

常见TCP和UDP端口号及其对应的服务名称如下表所示。

常见TCP和UDP端口号及其对应的服务名称如下表所示。

TCP标志信息

格式：tcp-flag { ack | established | fin | psh | rst | syn | urg }*

在高级ACL中，当协议类型指定为TCP时，设备支持基于TCP标志信息过滤报文。

TCP报文头有6个标志位：

• URG(100000)：标识紧急指针有效

• ACK(010000)：标识确认序号有效

• PSH(001000)：标识接收方应该尽快将这个报文段上交给应用层

• RST(000100)：标识重建连接

• SYN(000010)：同步序号，用来发起一个连接

• FIN(000001)：标识发送方完成发送任务

TCP标志信息中的established，表示标志位为ACK(010000)或RST(000100)。

指定tcp-flag的ACL规则可以用来实现单向访问控制。假设，要求192.168.1.0/24网段用户可以主动访问192.168.2.0/24网段用户，但反过来192.168.2.0/24网段用户不能主动访问192.168.1.0/24。可通过在设备上连接192.168.2.0/24网段的接口入方向上，应用ACL规则来实现该需求。

由TCP建立连接和关闭连接的过程可知，只有在TCP中间连接过程的报文才会ACK=1或者RST=1。根据这个特点，配置如下两种ACL规则，允许TCP中间连接过程的报文通过，拒绝该网段的其他TCP报文通过，就可以限制192.168.2.0/24网段主动发起的TCP连接。

• 类型一：配置指定ack和rst参数的ACL规则

  rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack  //允许ACK=1的TCP报文通过       
  rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst   //允许RST=1的TCP报文通过
  rule 15 deny tcp source 192.168.2.0 0.0.0.255  //拒绝该网段的其他TCP报文通过     

• 类型二：配置指定established参数的ACL规则

  rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established  // established表示ACK=1或者RST=1，表示允许TCP中间连接过程的报文通过
  rule deny tcp source 192.168.2.0 0.0.0.255     //拒绝该网段的其他TCP报文通过    

IP分片信息

格式：none-first-fragment

基本ACL和高级ACL支持基于IP分片信息过滤报文。

IP分片除了首片报文外，还有后续分片报文，又叫做非首片分片报文。仅首片分片报文携带四层信息（如TCP/UDP端口号等），后续分片报文均不携带。网络设备收到分片报文后，会判断其是否是最后一个分片报文。如果不是，则为其分配内存空间，以便于最后一个分片报文到达后完成重组。黑客可以利用这一点，向接收方设备发起分片报文攻击，始终不向接收方发送最后一个分片报文，使得接收方的内存得不到及时释放（接收方会启动一个分片重组的定时器，在定时器超时前如果无法完成重组，将向发送方发送ICMP重组超时差错报文；如果定时器超时后仍未完成重组，则丢弃已存储的分片报文）。在分片报文发送数量很多并且发送速度很快的情况下，接收方的内存很容易被占满，从而导致接收方没有足够的内存资源处理其他正常的业务。

为了解决这个问题，可以配置指定none-first-fragment匹配项的ACL规则来阻塞非首片分片报文，从而达到防范分片报文攻击的目的。

针对非分片报文、首片分片报文、非首片分片报文这三类报文，ACL的处理方式如表所示。

例如，ACL 3012中存在以下规则：

#                                    
acl number 3012                                                                  rule 5 deny tcp destination 192.168.2.2 0 none-first-fragment                   rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www            rule 15 deny ip                                                                 
#  

• 该报文是非分片报文或首片分片报文时：如果该报文的目的端口号是80（www对应的端口号是80），则报文与rule 10匹配，报文被允许通过；如果该报文的目的端口号不是80，则报文与rule 15匹配，报文被拒绝通过。

• 该报文是非首片分片报文时：该报文与rule 5匹配，报文被拒绝通过。

7、ACL的生效时间段

产生背景

ACL定义了丰富的匹配项，可以满足大部分的报文过滤需求。但需求是不断变化发展的，新的需求总是不断涌现。例如，某公司要求，在上班时间只允许员工浏览与工作相关的几个网站，下班或周末时间才可以访问其他互联网网站；再如，在每天20:00～22:00的网络流量的高峰期，为防止P2P、下载类业务占用大量带宽对其他数据业务的正常使用造成影响，需要对P2P、下载类业务的带宽进行限制。

基于时间的ACL过滤就是用来解决上述问题的。管理员可以根据网络访问行为的要求和网络的拥塞情况，配置一个或多个ACL生效时间段，然后在ACL规则中引用该时间段，从而实现在不同的时间段设置不同的策略，达到网络优化的目的。

生效时间段模式

在ACL规则中引用的生效时间段存在两种模式：

• 第一种模式——周期时间段：以星期为参数来定义时间范围，表示规则以一周为周期（如每周一的8至12点）循环生效。

  格式：time-range time-name start-time to end-time { days } &<1-7>

  • time-name：时间段名称，以英文字母开头的字符串。
  • start-time to end-time：开始时间和结束时间。格式为[小时:分钟] to [小时:分钟]。
  • days：有多种表达方式。

    • Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一个或者几个的组合，也可以用数字表达，0表示星期日，1表示星期一，……6表示星期六。

    • working-day：从星期一到星期五，五天。

    • daily：包括一周七天。

    • off-day：包括星期六和星期日，两天。

• 第二种模式——绝对时间段：从某年某月某日的某一时间开始，到某年某月某日的某一时间结束，表示规则在这段时间范围内生效。

  格式：time-range time-name from time1 date1 [ to time2 date2 ]

  • time-name：时间段名称，以英文字母开头的字符串。
  • time1/time2：格式为[小时:分钟]。
  • date1/date2：格式为[YYYY/MM/DD]，表示年/月/日。

可以使用同一名称（time-name）配置内容不同的多条时间段，配置的各周期时间段之间以及各绝对时间段之间的交集将成为最终生效的时间范围。

例如，在ACL 2001中引用了时间段“test”，“test”包含了三个生效时间段：

#   
time-range test 8:00 to 18:00 working-day  
time-range test 14:00 to 18:00 off-day  
time-range test from 00:00 2014/01/01 to 23:59 2014/12/31  
#   
acl number 2001                                                                  rule 5 permit time-range test 

• 第一个时间段，表示在周一到周五每天8:00到18:00生效，这是一个周期时间段。
• 第二个时间段，表示在周六、周日下午14:00到18:00生效，这是一个周期时间段。
• 第三个时间段，表示从2014年1月1日00:00起到2014年12月31日23:59生效，这是一个绝对时间段。

时间段“test”最终描述的时间范围为：2014年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

二、ACL配置

1.1示例拓扑图

配置要求：vlan2和vlan3在交换机内隔离，仅允许192.168.0.2访问server网段10.10.1.1

1.2交换机配置 

1、交换机创建vlan 2 3 ，配置vlanif，给接口设置vlan

sys
vlan batch 2 to 3
int vlanif 2
ip address 192.168.0.1 255.255.255.0
int vlanif 3
ip address 192.168.1.1 255.255.255 0int g0/0/1
port link-type access
port default vlan 2    #仅允许vlan2 两个vlan不互通int g0/0/2
port link-type access
port default vlan 3    #仅允许vlan3

2、交换机trunk模式连接路由器

int g0/0/24
port link-type trunk
quit
int g0/0/24
port trunk allow-pass vlan 2 3

1.3路由器配置

1、路由器配置ACL基本配置2000，给网段192.168.0.0/24设置permit,给192.168.1.0/24设置deny

acl 2000
rule 5 permit source 192.168.0.0 0.0.0.255   #规则5 放行192.168.0.0/24
rule 10 deny source 192.168.1.0 0.0.0.255   #规则10 拒绝192.168.1.0/24
rule 30 permit source 10.10.1.0 0.0.0.255   #规则30 放行10.10.1.0/24
dis this#
acl number 2000
rule 5 permit source 192.168.0.0 0.0.0.255   
rule 10 deny source 192.168.1.0 0.0.0.255   
rule 30 permit source 10.10.1.0 0.0.0.255 
#return

 2、配置g0/0/0的子接口连接路由器，配置g0/0/1的acl表

#配置子接口
int g0/0/0.2   #配置子接口1 划分 vlan 2
dot1q termination vid 2
ip address 192.168.0.1 255.255.255.0
int g0/0/0.3   #配置子接口2 划分 vlan 3
dot1q termination vid 3
ip address 192.168.1.1 255.255.255.0#配置g0/0/1的acl
int g0/0/1
traffic-filter inbound ac 2000
ip address 10.10.1.1 255.255.255.0
dis this

1.4结果验证

路由器ACL表中有10.10.1.0有流量通过，并且只有192.168.0.2主机可以访问目标网段（注：此时10.10.1.2主机无法直接ping，概率是环境原因）

 三、总结

ACL（访问控制列表）是网络安全的重要组成部分，用于控制数据包的流入流出。以下是其配置核心点的总结：

1. 分类：标准 ACL（基于源 IP 过滤，编号 1-99）和扩展 ACL（基于源 / 目的 IP、端口、协议过滤，编号 100-199）。

2. 配置步骤：

   • 创建 ACL：acl number [id] [match-order config|auto]
   • 添加规则：rule [permit|deny] [source/destination/port/protocol]
   • 应用到接口：traffic-filter [inbound|outbound] acl [id]

3. 规则顺序：按配置顺序匹配，默认隐含deny any结尾，需注意规则优先级。

4. 注意事项：避免冗余规则，谨慎使用permit any，定期审计优化。

5. 验证命令：display acl [id]查看规则，display traffic-filter applied-record检查应用情况。

合理配置 ACL 可有效保护网络资源，需结合网络拓扑和安全需求制定策略。

---------------E-----------N-------------D---------------