大家好，这里是G-LAB IT实验室。

ACL三种典型写法：按源IP、按目标段、按业务端口

ACL（Access Control List，访问控制列表）是计算机网络中用来控制数据包流动的一种机制。其基本功能是通过识别和过滤特定的数据包，从而增强网络的安全性。对于ACL的配置方式，主要有三种典型写法：按源IP、按目标段、按业务端口。本篇文章将详细介绍这三种典型的写法及其应用场景。

01

按源IP配置ACL

按源IP配置的ACL主要是基于数据包的源IP地址来进行控制。这种方式适合在不需要考虑目的地的情况下，对特定地址范围的数据包进行管理和过滤。

1. 典型场景

• 禁止特定IP访问外网：例如，禁止某一特定IP地址（如192.168.1.100）从内部网络访问外部网络。
• 限制特定子网访问服务器：如限制192.168.1.0/24子网对核心服务器的访问。

2. 配置示例

acl basic 2000

rule 5 deny source 192.168.1.100 0

rule 10 permit # 允许其他流量

interface GigabitEthernet1/0/1

packet-filter 2000 outbound # 在出方向控制流量

02

按目标段配置ACL

按目标段配置的ACL主要是对特定目标IP段进行控制。这种配置方式常用于分隔不同网络之间的通信。

1. 典型场景

• 控制跨VLAN流量：可以用于限制某一个VLAN（如VLAN 10）访问另一个VLAN（如VLAN 20）的资源。
• 保护关键资源：为防止来自不同子网的请求对关键资源造成影响。

2. 配置示例

acl advanced 3000

rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

rule 10 permit ip # 允许其他流量

interface Vlan-interface 10

packet-filter 3000 inbound # 在VLAN 10接口的入方向应用

03

按业务端口配置ACL

按业务端口配置的ACL主要基于数据包的目的端口。这将更具网络服务的特性，能够针对特定服务进行精细控制。

1. 典型场景

• 限制特定协议的访问：例如，禁止访问Web服务的80端口，仅允许HTTP、HTTPS流量。
• 控制远程访问管理：如限制只通过SSH访问管理设备。

2. 配置示例

acl advanced 4000

rule 5 deny tcp destination-port eq 80

rule 10 permit ip # 允许其他流量

interface GigabitEthernet1/0/2

packet-filter 4000 inbound # 在入方向控制特定端口流量

04

合理应用ACL的核心原则

1.靠近源还是目的：

1. 标准ACL通常应用在靠近目的地的接口。
2. 扩展ACL则应用在靠近源的接口，以减少流量的无效转发。

2.方向选择：

1. Inbound：流量进入接口时过滤，降低设备计算负担。
2. Outbound：流量离开接口前过滤，优化策略实现的灵活性。

3.性能影响

1. 复杂的ACL可能增加设备的处理延迟，因此需根据流量情况合理排列规则。

05

总结

通过合理配置和应用ACL，可以有效实现流量控制、安全防护和资源优化。三种典型的ACL写法（按源IP、按目标段、按业务端口）可以在不同场景中提供灵活的访问控制方案，帮助网络管理员增强网络安全性并确保业务的高效运营。

在实际部署中，管理员应综合考虑网络架构和安全需求，选择合适的ACL配置策略，并定期检查和优化现有ACL以提高网络性能。合理应用ACL不仅仅是技术上的需求，更是网络管理中不可或缺的一部分。

通过不同类型的ACL配置，能够确保各种复杂的网络环境下实现精确的流量控制，进一步提升网络安全和性能管理能力。同时，通过实验和测试，ACL配置策略也需要不断调整和优化，以达到最佳效果。

不断更新和维护ACL，以适应瞬息万变的网络威胁环境，是每个网络管理员需要时刻关注的重点。通过深入了解并熟练掌握ACL的配置和应用技巧，可以有效抵御潜在的安全威胁，确保网络服务的高效、稳定运行。