一、访问控制列表(ACL)
可以应用在多种网络接口和设备上,具体取决于网络架构和安全需求。以下是常见的应用场景及接口类型:
1. 路由器接口
物理接口(如以太网接口、串行接口):
- 入方向(Inbound):在流量进入接口时过滤(如限制外部访问)。
- 出方向(Outbound):在流量离开接口前过滤(如限制内部访问外部资源)。
- 典型场景:在路由器的 WAN 接口入方向应用 ACL,阻止来自外部的非法 IP 访问。
逻辑接口(如子接口、VLAN 接口):
- 用于控制不同子网或 VLAN 之间的流量(如隔离部门间通信)。
2. 三层交换机接口
VLAN 接口(SVI, Switch Virtual Interface):
- 控制跨 VLAN 的流量,例如限制某个 VLAN 访问核心服务器。
物理端口(三层模式):
- 在启用路由功能的三层交换机端口上直接应用 ACL。
3. 防火墙接口
安全区域边界:
- 在内外网接口之间应用 ACL,定义不同安全级别的流量规则(如仅允许 HTTPS 出站)。
DMZ 区接口:
- 限制外部用户访问 DMZ 中的特定服务(如只开放 Web 服务器的 80 端口)。
4. 无线网络接口
无线控制器(WLC)的虚拟接口:
- 控制无线用户访问有线网络的权限(如禁止访客网络访问内部资源)。
5. 虚拟化与云环境
虚拟交换机(vSwitch)端口:
- 在虚拟化环境中限制虚拟机(VM)之间的流量。
云平台的虚拟网络接口:
- 在公有云(如 AWS、Azure)中通过安全组(Security Groups)或网络 ACL 实现类似功能。
6. 其他特殊接口
隧道接口(如 VPN、GRE 隧道):
- 控制加密隧道内的流量(如仅允许特定协议通过 VPN)。
Loopback 接口:
- 保护设备管理流量(如限制访问设备的 Loopback IP)。
ACL 应用的核心原则
靠近源还是目的?
- 标准 ACL(基于源 IP)通常应用在靠近目的地的接口。
- 扩展 ACL(基于源/目的 IP、端口等)通常应用在靠近源的接口以减少无效流量。
方向选择:
- Inbound:在数据进入接口前过滤,节省设备资源。
- Outbound:在数据离开接口前过滤,灵活性更高。
性能影响:
- 复杂 ACL 可能增加设备处理延迟,需合理规划规则顺序(如将高频匹配规则置顶)。
示例场景
- 企业网络:在核心交换机的 VLAN 10 接口入方向应用 ACL,阻止市场部访问财务服务器。
- 数据中心:在边界路由器的外部接口入方向过滤已知恶意 IP。
- 远程访问:在 VPN 网关的隧道接口上仅允许 SSH 和 RDP 流量。
通过合理选择接口和方向,ACL 可以有效实现流量控制、安全防护和资源优化。
二、在H3C网络设备中,packet-filter 是用于将访问控制列表(ACL)应用到接口以实现流量过滤的核心命令。
以下是关于H3C设备中 packet-filter 的详细说明及配置方法:
1. 基本概念
packet-filter命令将ACL规则绑定到指定接口,根据ACL定义的规则允许或拒绝流量。ACL类型:
- 基本ACL(2000-2999):基于源IP地址过滤。
- 高级ACL(3000-3999):基于源/目的IP、协议、端口等更精细过滤。
- 二层ACL(4000-4999):基于MAC地址、VLAN等二层信息过滤。
2. 配置步骤
步骤1:创建ACL
# 创建基本ACL(示例:拒绝192.168.1.0/24网段)
acl basic 2000
rule 5 deny source 192.168.1.0 0.0.0.255
rule 10 permit # 允许其他流量
# 创建高级ACL(示例:禁止TCP 80端口的流量)
acl advanced 3000
rule 5 deny tcp destination-port eq 80
rule 10 permit ip # 允许其他IP流量
步骤2:应用ACL到接口
# 进入接口视图(以GigabitEthernet1/0/1为例)
interface GigabitEthernet1/0/1
# 应用ACL到接口的入方向(inbound)或出方向(outbound)
packet-filter 2000 inbound # 基本ACL控制入站流量
packet-filter 3000 outbound # 高级ACL控制出站流量
步骤3:验证配置
# 查看ACL规则
display acl 2000
# 查看接口的ACL应用状态
display packet-filter interface GigabitEthernet1/0/1
3. 关键参数说明
| 参数 | 说明 |
|---|---|
inbound |
过滤从外部进入接口的流量(入方向)。 |
outbound |
过滤从接口发出的流量(出方向)。 |
rule |
ACL规则的优先级,数值越小优先级越高(H3C默认按配置顺序匹配)。 |
permit/deny |
允许或拒绝匹配的流量。 |
source/destination |
定义源或目的IP地址(支持通配符掩码)。 |
4. 典型场景示例
场景1:禁止特定IP访问外网
acl basic 2000
rule deny source 192.168.1.100 0 # 拒绝IP 192.168.1.100
rule permit # 允许其他IP
interface GigabitEthernet1/0/1
packet-filter 2000 outbound # 在出方向阻止该IP访问外网
场景2:限制访问内部服务器
acl advanced 3000
rule deny tcp destination 10.1.1.10 0 destination-port eq 22 # 禁止SSH访问服务器
rule permit ip # 允许其他流量
interface GigabitEthernet1/0/2
packet-filter 3000 inbound # 在入方向过滤外部访问
5. 注意事项
ACL默认行为:
- 若ACL未明确匹配任何规则,H3C设备默认拒绝所有流量(隐式
deny any)。 - 若需要允许其他流量,必须显式添加
rule permit。
- 若ACL未明确匹配任何规则,H3C设备默认拒绝所有流量(隐式
规则优先级:
- H3C ACL规则按配置顺序(rule编号)匹配,非自动排序。建议手动规划规则编号(如5、10、15)。
性能影响:
- 复杂ACL(如大量规则或高级匹配)可能影响设备转发性能,建议优化规则逻辑。
方向选择:
inbound在流量进入接口时过滤,节省设备资源。outbound在流量离开接口前过滤,灵活性更高。
6. 常见问题排查
Q1:ACL未生效?
- 检查ACL是否绑定到正确的接口和方向。
- 确认规则顺序是否合理(优先级高的规则是否覆盖了低优先级规则)。
- 使用
display packet-filter statistics interface查看流量匹配统计。
Q2:如何放行特定协议?
acl advanced 3000
rule 5 permit tcp source-port eq 80 # 允许源端口80的TCP流量
rule 10 deny ip # 拒绝其他所有IP流量
Q3:如何删除ACL?
# 删除ACL前需先在接口取消绑定
interface GigabitEthernet1/0/1
undo packet-filter 2000 inbound
# 删除ACL
undo acl 2000
通过合理配置 packet-filter,可以在H3C设备上实现灵活的网络流量控制和安全防护。
三、在H3C设备中,将ACL通过 packet-filter 绑定到SVI接口(即VLAN接口,用于三层交换的虚拟接口)是实现跨VLAN流量控制的关键操作。
以下是详细配置步骤及示例:
1. 配置场景说明
- SVI接口:即VLAN接口(如Vlan-interface 10),用于不同VLAN间的三层路由。
典型需求:
- 限制某个VLAN访问其他VLAN的资源(如禁止VLAN 10访问VLAN 20的服务器)。
- 控制跨VLAN的协议或端口(如仅允许VLAN间HTTP流量)。
2. 配置步骤
步骤1:创建ACL规则
根据需求选择ACL类型(基本/高级ACL),例如:
场景:禁止VLAN 10(网段192.168.10.0/24)访问VLAN 20的服务器(IP 192.168.20.100)。
# 创建高级ACL 3000(匹配源VLAN 10网段,目标服务器IP)
acl advanced 3000
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.100 0
rule 10 permit ip # 允许其他流量
步骤2:进入SVI接口视图
找到需要绑定ACL的VLAN接口(以Vlan-interface 10为例):
interface Vlan-interface 10
步骤3:应用ACL到SVI接口
根据流量方向选择 inbound(入方向)或 outbound(出方向):
# 在VLAN 10接口的入方向应用ACL(过滤从VLAN 10进入交换机的流量)
packet-filter 3000 inbound
3. 方向选择与流量逻辑
inbound(入方向):过滤从该VLAN进入交换机的流量(即VLAN内设备发出的流量)。
适用场景:限制VLAN内用户访问外部资源。
outbound(出方向):过滤从交换机发出到该VLAN的流量(即其他VLAN或外部网络返回的流量)。
适用场景:限制外部流量进入该VLAN。
4. 完整配置示例
场景:禁止VLAN 10(192.168.10.0/24)访问VLAN 20的Web服务器(80端口)
# 创建高级ACL
acl advanced 3000
rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.100 0 destination-port eq 80
rule 10 permit ip # 放行其他流量
# 进入VLAN 10的SVI接口
interface Vlan-interface 10
packet-filter 3000 inbound # 在入方向阻断VLAN 10的HTTP访问
5. 验证与排查
查看ACL绑定状态
display packet-filter interface Vlan-interface 10
检查流量匹配统计
display packet-filter statistics interface Vlan-interface 10 inbound
常见问题
ACL未生效:
- 确认ACL已绑定到正确的SVI接口和方向。
- 检查规则是否匹配流量(如IP地址掩码、协议/端口是否准确)。
意外阻断所有流量:
- 确保ACL中最后一条规则为
permit ip(H3C默认拒绝未匹配的流量)。
- 确保ACL中最后一条规则为
6. 扩展应用
场景:允许VLAN间仅互通ICMP(Ping)
acl advanced 3010
rule 5 permit icmp # 允许ICMP协议
rule 10 deny ip # 拒绝其他所有IP流量
# 在VLAN接口的双向应用
interface Vlan-interface 10
packet-filter 3010 inbound
packet-filter 3010 outbound
7. 注意事项
性能影响:
- SVI接口的ACL处理由三层交换机的CPU或硬件芯片实现,复杂规则可能影响转发效率。
规则优先级:
- H3C ACL规则按配置顺序(rule编号)匹配,需手动规划优先级(如5、10、15)。
隐式拒绝:
- 若ACL未明确允许流量,默认拒绝所有。务必在末尾添加
rule permit放行必要流量。
- 若ACL未明确允许流量,默认拒绝所有。务必在末尾添加
通过将 packet-filter 绑定到SVI接口,可以精准控制跨VLAN的三层流量,实现网络分段与安全隔离。