正文

ACL策略（交换机acl策略）

发布时间：2023-04-13 21:08:23 稿源：创意岭阅读： 106

大家好！今天让创意岭的小编来大家介绍下关于ACL策略的问题，以下是小编对此问题的归纳整理，让我们一起来看看吧。

开始之前先推荐一个非常厉害的Ai人工智能工具，一键生成原创文章、方案、文案、工作计划、工作报告、论文、代码、作文、做题和对话答疑等等

只需要输入关键词，就能返回你想要的内容，越精准，写出的就越详细，有微信小程序端、在线网页版、PC客户端

官网：https://ai.de1919.com。

创意岭作为行业内优秀的企业，服务客户遍布全球各地，如需了解SEO相关业务请拨打电话175-8598-2043，或添加微信：1454722008

本文目录:

1、如何使用acl进行vlan间的限制
2、华为acl无效
3、H3C路由器ACL策略没生效
4、请分析访问控制列表（ACL）与包过滤防火墙的区别

ACL策略（交换机acl策略）

一、如何使用acl进行vlan间的限制

你好，

以下配置及说明以Cisco配置为前提。

因为通信是相互的，所以Cisco设备中的ACL在应用中默认是双向限制的。

如何按需实现单向访问？即不能让B访问A，但允许A访问B。

假设A和B属于不同的Vlan，Vlan间的路由通过三层交换机实现。

此时有两种方法实现单向访问控制：

1）在三层交换机上做Vlan-Filter；

2）利用reflect做ACL。

基于你的拓扑结构，是采取单臂路由来实现Vlan间的通信，所以只能采取方法2，并在路由器做配置。

配置如下：（两步）

//第一步：建立访问控制列表

ip access-list extended ACL-inbound //“ACL-inbound”是自定义的ACL名称

//我并不阻止Vlan10内部的主机访问外网，为什么还要建立Vlan10站内的ACL呢？

//这是因为在这里要指定“reflect”策略，在制定站外策略（Vlan20访问Vlan10）时需要用到！

permit ip host 192.168.10.2 host 192.168.20.2 reflect ACL-Ref

//指定一个reflect策略，命名为“ACL-Ref”，在制定站外ACL时要用到

permit ip any any //允许站内任意主机到站外任意地址的访问，必配，否则Vlan10其他主机无法出站访问！

ip access-list extended ACL-outbound //站外访问控制策略

evaluate ACL-Ref //允许前面定义的reflect策略（ACL-Ref）中指定通信的返回数据

deny ip host 192.168.20.2 host 192.168.10.2 //阻止192.168.20.2访问192.168.10.2

permit ip any any //允许站外其他任意主机访问Vlan10内的任意主机

//第二步：端口应用ACL

interface fa0/0.1 //进入Vlan10的通信端口配置

ip address 192.168.10.1 255.255.255.0

ip access-group ACL-inbound in //应用站内访问控制策略“ACL-inbound”

ip access-group ACL-outbound out //应用站外访问控制策略“ACL-outbound”

以上，供参考。

二、华为acl无效

由于ACL参数设置不正确导致ACL访问控制策略不生效

发布时间: 2015-07-22 查看英文案例

问题描述

如图所示，Router作为某企业出口，配置防火墙功能限制Internet上主机访问企业内部服务器。在Router上配置NAT功能使内部服务器对外使用的IP地址为1.1.2.2。

ACL访问控制策略不生效案例组网图：

相关配置文件如下：

nat static protocol tcp global ip 1.1.2.2 inside ip 10.26.103.70 //配置从内部地址10.26.103.70到外部地址1.1.2.2的一对一转换

acl number 3000 //配置规则禁止PC机1.1.1.1向1.1.2.2地址发送IP报文

rule 1 deny ip source 1.1.1.1 0 destination 1.1.2.2 0

rule 2 permit ip

interface Ethernet0/0/1

ip address 1.1.2.1 255.255.255.224

firewall enable

packet-filter 3000 inbound //对入方向的报文进行过滤

但是配置ACL后策略不生效，PC依然能够访问内部服务器。

告警信息

处理过程

ACL策略不生效主要涉及两方面原因，一是防火墙的配置，二是ACL的配置。

1. 检查防火墙的功能是否开启。

在配置文件里看到firewall enable，执行命令display firewall zone查看指定安全区域的配置信息，可以查看到域的信息。因此确认防火墙已经开启，排除防火墙的原因。

2. 检查ACL的rule规则配置是否正确。

从Router的配置文件中可知，rule规则配置的是禁止从PC机到外部地址1.1.2.2的IP报文传输，但是由于在Router上配置了NAT功能，已经将内网地址与外网地址进行了转换，即PC机访问的地址已经变更为10.26.103.70，所以rule规则应该配置的是禁止PC机到10.26.103.70的IP报文传输。所以现修改ACL的规则如下：

acl number 3000

rule 1 deny ip source 1.1.1.1 0 destination 10.26

三、H3C路由器ACL策略没生效

msr设备没有时间芯片，重启就丢失时间信息

四、请分析访问控制列表（ACL）与包过滤防火墙的区别

ACL一般用在交换机和路由器上，应用的时候是有方向的（入方向或者出方向），我们知道数据包是有来有回的，acl只能做到单向访问限制。比如交换机上配了2个vlan，vlan10和vlan20，vlan10的192.168.10.1访问vlan20的192.168.20.1，如果在vlan10上启用acl应用在inbound方向，策略为允许192.168.10.1访问192.168.20.1，然后又在vlan20上启用acl应用在inbound方向，策略为192.168.20.1拒绝访问192.168.10.1。这种情况下其实两边都是不通的。应为从192.168.10.1ping192.168.20.1去的时候是可以到达的，但是回来的时候就让vlan20上的acl给阻止了。

但是如果交换机换成防火墙就不一样了，防火墙是基于5元组的包过滤的方式实现的访问控制，如果是上面同样的配置，那么结果就是192.168.10.1能访问192.168.20.1，反过来就不通了。

因为192.168.10.1去访问192.168.20.1的时候这条会话会别标记，能去就能会，这是跟acl的本质区别，能记录数据的来回，而acl做不到。

手打，谢谢。

以上就是关于ACL策略相关问题的回答。希望能帮到你，如有更多相关问题，您也可以联系我们的客服进行咨询，客服也会为您讲解更多精彩的知识和内容。