项目7-任务2 ACL的配置与调试

任务2ACL的配置与调试——项目7安全网络技术的配置与调试“网络设备安装与调试”教学资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1

宏宏互联科技有限公司有技术部和财务部，每个部门都有若干台计算机、财务系统服务器1台，使用三层交换机进行局域网组建，并通过路由器连接至外部网络。出于数据安全的考虑，需要在交换机和路由器上配置ACL，网络拓扑图如图1-1所示，VLAN规划表如表1-1所示，设备的端口和IP地址规划表如表1-2所示。具体要求如下：任务详细描述任务描述1（1）在SWA上分别为技术部、财务部和财务系统创建VLAN10、VLAN20和VLAN30，创建VLAN40并配置地址与路由器RA连接。（2）只允许技术部中的主机PC2访问外网服务器PC1。（3）只允许财务部中的主机PC3访问财务系统服务器PC4。（4）整个网络配置RIPv2协议实现全网互通。任务详细描述任务描述1网络拓扑图2任务分析PART任务分析2

先在三层交换机SWA上创建VLAN10、20、30、40并划分端口，配置对应VLANIF接口IP，在路由器RA上配置接口IP，两台设备均配置RIPv2实现全网互通；在路由器RA上配置基本ACL2000，仅允许PC2（）访问外网服务器PC1（），并在RA的GE0/0/0接口out方向应用；在三层交换机SWA上配置基本ACL2001，仅允许PC3（）访问财务服务器PC4（），并在SWA的GE0/0/13接口out方向应用，最后用ping测试连通性与ACL生效状态。步骤提示3知识准备PART知识准备——1.ACL的定义

3（1）什么是ACLACL（AccessControlList，访问控制列表），是部署在路由器、交换机、防火墙等网络设备上，由多条顺序匹配的规则组成的逻辑列表；通过检测IP报文的源地址、目的地址、传输层协议、端口号等特征，对网络流量进行识别，执行允许或拒绝动作，实现流量过滤、访问权限控制、安全隔离，同时可为NAT、QoS、流策略等业务提供流量分类匹配依据。知识内容知识准备——2.ACL的作用

3（1）ACL的作用流量过滤：禁止非法访问、隔离病毒与攻击流量；安全控制：限制员工上网、禁止特定网段互访；业务匹配：为NAT地址转换、QoS流量限速、流策略分类提供匹配依据；网络管控：控制端口访问、限制服务登录权限。知识内容知识准备——3.ACL的分类

3（1）基础ACL

-编号范围：2000～2999-只检查：源IP地址-特点：配置简单、只能粗粒度控制-部署位置：靠近目标网段接口-适用场景：禁止某一台电脑、某一段网段上网或访问内网知识内容知识准备——3.ACL的分类

3（2）高级ACL

-编号范围：3000～3999-同时检查：源IP+目的IP+协议（TCP/UDP/ICMP）+端口号-特点：控制非常精细，企业最常用-部署位置：靠近流量源头接口-适用场景：禁止QQ、禁止网页、禁止远程登录、禁止跨网段访问服务器知识内容知识准备——4.ACL的工作原理与默认行为解析

3（1）匹配顺序与首次命中原则顺序匹配：ACL规则按照规则编号从小到大依次进行比对。首次命中即停止：一旦报文匹配上某条规则，设备立即执行相应动作并停止后续匹配。规则编号管理：华为设备默认步长为5，便于在现有规则间插入新规则。知识内容知识准备——4.ACL的工作原理

3（2）华为VRP设备：特殊行为解析如果ACL里只有deny规则，没有任何permit华为自动忽略默认denyany自动偷偷加一条隐含permitany一句话总结华为：只写拒绝，其余全部放行。规范写法：手动写permitany，永远不出错。知识内容知识准备——5.ACL的配置

3（1）配置ACL流程第一步：进入系统视图第二步：创建ACL规则，写好允许/拒绝流量第三步：进入接口第四步：在接口下调用ACL，指定入方向或出方向第五步：测试连通性，检查是否生效知识内容知识准备——5.ACL的配置

3（2）配置案例1）需求：禁止0上网，允许同网段其他所有主机正常通行。//创建ACL规则system-viewacl2000#创建基础ACL2000ruledenysource0rulepermitsourceany知识内容知识准备——5.ACL的配置

3（2）配置案例1）需求：禁止0上网，允许同网段其他所有主机正常通行。//接口应用ACLinterfaceGigabitEthernet0/0/0traffic-filteroutboundacl2000知识内容知识准备——5.ACL的配置

3（2）配置案例2）需求：拒绝0访问0的TCP80端口，允许其他所有主机所有流量正常通行//创建ACL规则acl3000ruledenytcpsource0destination0destination-porteq80rulepermitipsourceanydestinationany知识内容知识准备——5.ACL的配置

3（2）配置案例2）需求：拒绝0访问0的TCP80端口，允许其他所有主机所有流量正常通行//应用ACL#接口应用（入方向）interfaceGigabitEthernet0/0/1traffic-filterinboundacl3000知识内容4任务实施PART任务实施4阶段一：基础组网搭建目标：完成设备命名、接口IP、VLAN划分、VLANIF配置，实现三层互通核心任务：在eNSP搭建实训拓扑并正确连线；完成路由器RA、三层交换机SWA设备命名；配置各接口IP地址；创建VLAN10、20、30、40并分配端口；配置VLANIF网关地址；确保设备之间物理链路与逻辑链路正常。操作流程任务实施4阶段二：路由协议配置（RIPv2）目标：实现全网路由可达核心任务：在RA与SWA上启用RIPv2协议；发布各直连网段（/24、/24、/24、/30、/24）；关闭路由自动汇总；检查路由表确保全网互通。操作流程任务实施4阶段三：基本ACL配置目标：按要求实现部门访问控制核心任务：在路由器RA配置基本ACL2000，仅允许技术部PC2（）访问外网服务器PC1；操作流程任务实施4阶段三：基本ACL配置在三层交换机SWA配置基本ACL2001，仅允许财务部PC3（）访问财务服务器PC4；将ACL正确应用到对应接口的入/出方向；验证PC2可访问外网、PC3可访问财务服务器，其他主机禁止访问。操作流程5任务测试PART任务测试5（1）查看RA路由器ACL2000配置信息

在RA上执行displayacl2000，查看基本ACL规则与动作，确认仅允许PC2访问外网。（2）查看SWA三层交换机ACL2001配置信息

在SWA上执行displayacl2001，查看基本ACL规则与动作，确认仅允许PC3访问财务服务器。操作流程任务测试5（3）查看ACL接口应用记录

在RA上执行displaytraffic-filterapplied-record，查看ACL已正确应用到对应接口，确认策略生效。（4）测试PC2访问财务系统服务器PC4在PC2上执行ping，验证技术部无法访问财务服务器。操作流程6任务拓展PART任务拓展6

宏宏互联科技有限公司