🚩三大类型:
场景1:隔离部门间访问(制造业案例)
🚩配置展示:
# 华为交换机扩展ACLacl name DENY_PROD-FIN 3000rule 5 deny ipsource10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255rule 10 permit ip # 放行其他流量# 应用在VLANIF接口interface vlanif 10traffic-filter inbound acl DENY_PROD-FIN
场景2:防勒索病毒传播
# 阻断135-139端口(SMB漏洞)acl name ANTI_RANSOM 3001rule 5 deny tcp destination-port eq 135rule 10 deny tcp destination-port eq 137-139rule 15 deny udp destination-port eq 135-139rule 100 permit ip# 全局应用traffic-filter global inbound acl ANTI_RANSOM
武器1:时间ACL(上班封堵娱乐网站)
# 创建时间范围time-range WORK_TIME 08:00 to 18:00 working-day# 关联ACLacl 3002rule 5 deny tcp destination-port eq 80 time-range WORK_TIMErule 10 deny tcp destination-port eq 443 time-range WORK_TIME
武器2:基于MAC的准入控制
acl name PORT_SECURITY 5000rule 5 permit source-mac 5489-98d3-1da2 # 放行注册设备rule 10 deny # 拒绝其他所有# 应用在接入端口interface gigabitethernet 0/0/5traffic-policy PORT_SECURITY inbound
武器3:配合路由策略
# 拒绝特定网段参与OSPFacl number 2001rule 5 denysource10.2.100.0 0.0.0.255rule 10 permit# 路由策略调用route-policy OSPF_FILTER deny node 10if-match acl 2001ospf 1filter-policy route-policy OSPF_FILTER import
💡 华为设备查看ACL命中计数:
display acl 3000 # 观察`Matched`次数现象:ACL未生效
# 华为设备display traffic-policy applied-record # 查看ACL应用位置display packet-filter statistics # 实时监控阻断流量# 思科设备show ip access-lists # 显示ACL规则及命中数show run | section access-list # 快速定位配置
🔥 终极警告:
禁止在核心层交换机部署超过50条复杂ACL!
高性能场景应使用防火墙替代交换机ACL!
发表回复