交换机ACL功能通过匹配IP/MAC/端口等字段实现流量过滤，含高级ACL跨网段管控、二层ACL禁MAC、VACL同VLAN隔离、time-range时段策略及PACL端口级拦截五类典型应用。

Inworld.ai

InWorldAI是一个AI角色开发平台，开发者可以创建具有自然语言、上下文意识和多模态的AI角色，并可以继承到游戏和实时媒体中

178 查看详情

交换机ACL功能通过匹配报文的源/目的IP地址、端口号、协议类型、MAC地址等字段，对流经设备的数据包执行允许或拒绝操作。以下是实现流量过滤的具体方法与典型配置示例：

一、基于高级ACL限制跨网段访问（设备）

高级ACL（编号3000–3999）支持四层信息匹配，适用于精确控制TCP/UDP/ICMP等协议的访问行为，常用于部门隔离或服务端口管控。

1、进入系统视图并创建命名高级ACL：
[HUAWEI] acl name BLOCK_FTP 3001

2、配置拒绝FTP控制端口（TCP 21）的规则：
[HUAWEI-acl-adv-BLOCK_FTP] rule 5 deny tcp destination-port eq 21

3、配置拒绝FTP数据端口范围（TCP 20及被动模式常用端口）：
[HUAWEI-acl-adv-BLOCK_FTP] rule 10 deny tcp destination-port range 20 20
[HUAWEI-acl-adv-BLOCK_FTP] rule 15 deny tcp destination-port range 1024 65535

4、放行其余所有流量（ACL默认隐含deny all，必须显式permit）：
[HUAWEI-acl-adv-BLOCK_FTP] rule 100 permit ip

5、在三层接口（如VLANIF 10）入方向应用该ACL：
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] traffic-filter inbound acl BLOCK_FTP

二、使用二层ACL禁止特定MAC地址上网

二层ACL（编号4000–4999）直接匹配以太网帧头字段，不依赖IP层，可有效阻断未分配IP或伪造IP的非法终端接入。

1、创建二层ACL并进入其视图：
[HUAWEI] acl 4001

2、拒绝指定源MAC地址的所有帧（格式为XXXX-XXXX-XXXX）：
[HUAWEI-acl-L2-4001] rule 5 deny source-mac 0011-2233-4455

3、允许其他所有MAC地址的帧通过：
[HUAWEI-acl-L2-4001] rule 10 permit

4、在物理接口GE0/0/5上应用该ACL于入方向：
[HUAWEI] interface gigabitethernet 0/0/5
[HUAWEI-GigabitEthernet0/0/5] traffic-filter inbound acl 4001

三、通过VLAN ACL（VACL）实现同VLAN内主机隔离

VACL作用于VLAN内部转发路径，可控制同一广播域中不同主机间的二层通信，且需同时匹配入向与出向流量，优先级高于RACL。

1、定义扩展ACL匹配双向ICMP流量：
[HUAWEI] ip access-list extended VA-ICMP
[HUAWEI-ip-ac-ext-VA-ICMP] permit icmp host 192.168.10.10 host 192.168.10.20
[HUAWEI-ip-ac-ext-VA-ICMP] permit icmp host 192.168.10.20 host 192.168.10.10

2、创建VLAN access-map并绑定ACL：
[HUAWEI] vlan access-map VA-PROTECT 10
[HUAWEI-vlan-access-map-VA-PROTECT-10] match ip address VA-ICMP
[HUAWEI-vlan-access-map-VA-PROTECT-10] action drop

3、将access-map应用至目标VLAN（如VLAN 10）：
[HUAWEI] vlan filter VA-PROTECT vlan-list 10

四、利用时间段（time-range）实现策略按需生效

ACL规则可绑定时间范围，使访问控制仅在指定时段内激活，适用于办公时间管控、维护窗口限制等场景。

1、创建绝对时间范围（例如：2025年全年每日0:00–6:00）：
[HUAWEI] time-range NIGHT_ACCESS
[HUAWEI-time-range-NIGHT_ACCESS] absolute-range 0:0 2025/1/1 to 6:00 2025/12/31

2、创建周期时间范围（例如：每周一至周五18:00–22:00）：
[HUAWEI] time-range WORK_HOUR
[HUAWEI-time-range-WORK_HOUR] periodic daily 18:00 to 22:00

3、在高级ACL规则中引用该时间范围：
[HUAWEI] acl name TIME_BASED 3002
[HUAWEI-acl-adv-TIME_BASED] rule 5 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.100.0 0.0.0.255 time-range WORK_HOUR

4、应用该ACL至对应接口：
[HUAWEI] interface vlanif 5
[HUAWEI-Vlanif5] traffic-filter outbound acl TIME_BASED

五、基于PACL实现端口级入向精准拦截

PACL（Port ACL）直接绑定在物理或逻辑接口上，仅支持in方向，具有最高匹配优先级，适用于终端侧即时封禁。

1、创建扩展ACL并定义拒绝规则：
[HUAWEI] ip access-list extended PACL_BLOCK
[HUAWEI-ip-ac-ext-PACL_BLOCK] deny udp source 172.16.20.5 0 destination-port eq 53
[HUAWEI-ip-ac-ext-PACL_BLOCK] permit ip any any

2、在接入端口GE0/0/23上启用PACL：
[HUAWEI] interface gigabitethernet 0/0/23
[HUAWEI-GigabitEthernet0/0/23] ip access-group PACL_BLOCK in

3、验证PACL是否生效：
[HUAWEI] display traffic-filter applied-record interface gigabitethernet 0/0/23

注意：PACL不支持out方向，且不能与QoS策略在同一接口in方向共存；若已配置QoS inbound，请先删除再应用PACL

以上就是交换机ACL功能怎样过滤流量_交换机ACL规则编写与应用【示例】的详细内容，更多请关注其它相关文章！

# 操作流程  # 想开店有什么网站推广  # 定西一站式营销推广招商  # 武隆的网站建设高端费用  # 宽带推广算营销类吗还是销售  # 潍坊昌大建设集团网站  # 济南网站关键词优化  # 澳门关键词推广商家排名  # 石家庄营销推广活动策划  # 建设通属于什么网站  # 电工电气关键词排名平台  # 自然语言  # 京东  # 是一个  # app  # 下单  # 中文网  # 绑定  # 适用于  # 淘宝  # 二层  # 2025  # 2025年  # ai  # mac  # 端口  # access  # 以太网 

相关栏目： 【 科技资讯46185 】 【 网络学院92790 】

相关推荐： Lar*el Form Request中唯一性验证在更新操作中的正确实现  Eclipse怎么运行工程_Eclipse工程运行配置说明  windows10怎么关闭系统提示音_windows10彻底静音设置方法  在哪找SublimeJ远程工具_SFTP插件配置教程  深入理解与实现最大堆的Heapify过程：常见错误与修正  Adobe PDF表单中利用J*aScript解析与格式化日期组件的教程  纯CSS与HTML网格布局的HTML精简策略：SVG与JS方案解析  163邮箱登录密码 163邮箱忘记密码找回  星露谷物语官网入口 星露谷物语游戏官网入口  taptap防沉迷怎么解除 taptap解除健康系统限制说明【2025最新】  抖音网页版平台入口 抖音网页版官网在线访问教程  Python大型XML文件高效流式解析教程  微信商城在哪里打开【步骤】  sublime如何配置Python开发环境_将sublime打造成轻量级Python IDE  腾讯视频怎么举报不良内容_腾讯视频内容举报流程与违规信息处理方法  神庙逃亡小游戏在线玩 神庙逃亡小游戏入口  sublime怎么格式化代码_sublime代码美化与一键排版插件配置  VS Code远程开发时如何处理文件权限问题  谷歌邮箱注册显示错误Gmail服务器异常与延迟处理  Golang并发任务中错误如何聚合_Golang goroutine error收集方式  CSS条件样式无法按设备触发怎么排查_media条件语句正确设置解决触发问题  机构：以往存储涨价周期小米利润率实际上有所改善 能转嫁给消费者等  J*aScript动态修改指定div内所有a标签样式指南  mc.js官网登录入口 mc.js官方登录入口最新版  铃兰之剑为这和平的世界希里技能组及加点推荐  必由学官网首页入口 必由学教师网页版登录指南  抖音DOU+怎么投最有效 抖音付费推广的ROI提升技巧  双系统安装时，如何设置默认启动系统？ msconfig命令了解一下！  Python中高效且防溢出的双曲正弦计算：基于对数空间的优化策略  QQ邮箱网页版入口登录 QQ邮箱在线邮箱官方通道  C++ vector二维数组定义_C++ vector of vector用法  如何在离线环境中使用Composer_Composer离线安装依赖包的技巧与策略  Fabric模组开发：自定义物品与物品组的现代管理方法  使用Python高效删除Word宏并转换DOCM为DOCX格式  如何使用spryker/configurable-bundles-products-resource-relationship模块解决复杂产品捆绑关系难题  网站内容防复制粘贴的实现策略与局限性  多闪网页版在线观看免费入口_多闪官网访问入口  千牛数据看板网页版_千牛数据看板网页版访问方法  微博网页版怎么开启两步验证_微博网页版账号安全两步验证设置方法  深入理解Google Cloud Datastore查询：祖先路径与数据一致性  汽水音乐在线解析 汽水音乐在线解析入口  AO3网页版合集入口 Archive of Our Own同人作品浏览指南  理解J*aScript Promise的微任务队列与执行顺序  UE5.7引擎表现爆炸优化无敌！5090跑4K稳定60FPS  Pyrogram与g4f集成：异步编程实践与常见错误解决  黑鲨3Pro怎样在相册开漫画风滤镜_iPhone黑鲨3Pro相册开漫画风滤镜【趣味滤镜】  快手极速版在线观看 官方网页版登录地址  知乎APP怎么管理已购盐选内容_知乎APP盐选内容购买记录与查看方法  在J*a中如何使用BigDecimal进行高精度计算_BigDecimal类应用指南  CSS自定义字体样式被系统字体替换怎么办_font-face方式指定font-display控制渲染策略