网络工程师-实战配置篇（二）：精通 ACL 与策略路由，实现智能流量管控

一、引言访问控制列表ACL与策略路由PBR是软考网络工程师下午案例分析题的高频考点同时也是企业网络流量管控的核心技术二者分别承担网络 “精准过滤器” 与 “智能导航” 的功能。ACL 技术起源于 20 世纪 80 年代的路由器访问控制需求先后经历了基本 ACL、高级 ACL、二层 ACL 等多个演进阶段相关标准定义在 RFC 2474、RFC 3060 等文档中策略路由则在 90 年代随着多运营商网络互联需求出现通过打破传统路由仅基于目的地址转发的限制实现了流量的灵活调度。本文将从技术原理、配置语法、实战案例、架构设计四个维度展开覆盖软考大纲中所有 ACL 与 PBR 的考点要求帮助考生掌握配置逻辑与应试要点。二、ACL 核心技术原理与分类一基本定义与工作机制ACL 是由 permit/deny 语句组成的有序规则集合本质是报文匹配工具通过匹配报文的头部字段识别流量再结合应用场景执行相应动作。其核心工作机制如下规则匹配遵循 “从上到下、命中即停” 原则设备按规则编号从小到大依次检查一旦匹配成功立即执行对应动作不再检查后续规则ACL 本身仅实现流量识别必须应用到接口、路由策略、安全策略等场景才能生效华为设备默认在所有 ACL 末尾隐含一条permit any规则与防火墙默认deny any的逻辑存在本质差异是软考易错考点设备自身发起的流量如 ICMP 探测、路由协议报文不受接口出方向 ACL 的过滤仅会被入方向 ACL 或全局策略管控ACL 规则匹配流程图与报文处理路径示意图二ACL 分类与部署原则按照匹配能力的不同华为设备将 ACL 分为四类各类的参数与部署原则如下表ACL 类型可匹配字段编号范围部署原则基本 ACL源 IP 地址、分片标记、生效时间段2000-2999尽量靠近流量目的端避免误拦截其他共享链路的流量高级 ACL源 / 目的 IP、IP 协议类型、TCP/UDP 端口号、DSCP 优先级3000-3999尽量靠近流量源端尽早过滤无效流量节省链路带宽与设备处理资源二层 ACL源 / 目的 MAC 地址、以太网帧类型、VLAN ID4000-4999部署在二层接入设备实现同 VLAN 内的流量隔离用户 ACL自定义报文偏移量、自定义字段匹配5000-5999用于特殊协议或自定义报文的识别工业控制网络场景较为常用四类 ACL 适用场景对比表与部署位置示意图三核心配置语法详解1. 基础配置示例软考中 90% 的 ACL 考点集中在基本 ACL 与高级 ACL 的配置核心语法如下基本 ACL 配置仅匹配源 IP[Huawei] acl 2000 // 创建编号2000的基本ACL [Huawei-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255 // 允许192.168.1.0/24网段 [Huawei-acl-basic-2000] rule 10 deny source 192.168.2.0 0.0.0.255 // 拒绝192.168.2.0/24网段高级 ACL 配置匹配五元组[Huawei] acl 3000 // 创建编号3000的高级ACL [Huawei-acl-adv-3000] rule permit tcp source 202.110.10.0 0.0.0.255 destination 179.100.17.10 0 destination-port eq www // 允许指定网段访问目标服务器的80端口2. 通配符掩码规则通配符掩码是 ACL 配置的核心易错点其中 0 表示对应比特位需要精确匹配1 表示对应比特位忽略host 192.168.1.1等价于192.168.1.1 0.0.0.0表示精确匹配单个 IPany等价于0.0.0.0 255.255.255.255表示匹配所有 IP 地址网段 192.168.1.0/26 对应的通配符掩码为0.0.0.63而非子网掩码255.255.255.192二者逻辑完全相反3. 基于时间的 ACL时间 ACL 可实现规则的周期性生效是软考常考的扩展特性配置示例[Huawei] time-range work-time 09:00 to 18:00 working-day // 定义工作日9点到18点的时间段 [Huawei] acl 2001 [Huawei-acl-basic-2001] rule permit source 192.168.10.0 0.0.0.255 time-range work-time // 工作时间允许该网段访问 [Huawei-acl-basic-2001] rule deny source any // 其他时间拒绝所有​​​​​​​真题考点若同时配置time-range ftp-access 14:00 to 18:00 off-day和time-range ftp-access from 00:00 2018/1/1 to 23:59 2018/12/31则规则仅在 2018 年所有周末的 14:00-18:00 生效多个时间段为 “与” 的关系。4. MQC 模块化流量管控复杂流量控制场景需使用 “流分类 - 流行为 - 流策略” 的 MQC 架构实现配置流程如下// 1. 配置ACL定义匹配条件 [Huawei] acl 3000 [Huawei-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 // 2. 配置流分类关联ACL [Huawei] traffic classifier c_office [Huawei-classifier-c_office] if-match acl 3000 // 3. 配置流行为定义动作 [Huawei] traffic behavior b_office [Huawei-behavior-b_office] deny // 4. 配置流策略绑定分类与行为 [Huawei] traffic policy p_office [Huawei-trafficpolicy-p_office] classifier c_office behavior b_office // 5. 接口入方向应用流策略 [Huawei] interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1] traffic-policy p_office inbound​​​​​MQC 架构组件关系与配置流程示意图三、策略路由技术原理与实现方案一基本定义与应用场景策略路由PBR是一种超越传统路由表的转发机制传统路由仅基于目的 IP 地址查表转发而 PBR 允许管理员自定义匹配条件源 IP、应用类型、报文大小等为符合条件的流量指定独立的转发路径。其核心应用场景包括多 ISP 负载分担不同内网网段通过不同运营商链路访问互联网实现带宽资源的合理利用安全引流将外网访问内网的流量重定向到防火墙、IDS 等安全设备进行检测清洗完成后再转发到目标服务器成本优化普通上网流量走廉价民用链路核心业务流量走 SLA 保障的专线链路降低运营成本业务隔离办公网段与生产网段访问同一目标时走不同路径避免业务流量互相干扰二两种实现方案对比软考范围内策略路由有两种主流实现方式二者的特性与适用场景如下实现方式配置复杂度匹配能力适用场景配置核心传统 PBR低支持 ACL 匹配三层接口的全局流量调度policy-based-route 命令定义节点接口应用 ip policy-based-routeMQC 重定向中支持 ACL、VLAN ID、DSCP 等多维度匹配VLAN、VXLAN 等复杂场景的精细化调度traffic behavior 中配置 redirect 动作流策略应用到对应接口三传统 PBR 配置实战典型案例需求企业内网网段 110.1.1.0/24访问互联网走 ISP1 链路网段 210.1.2.0/24走 ISP2 链路但两个网段访问旁挂服务器10.1.3.254的流量均走内网转发不受策略路由影响。配置如下// 1. 配置高级ACL匹配网段1的互联网流量排除访问内部服务器的流量 [Huawei] acl 3000 [Huawei-acl-adv-3000] rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.3.254 0 [Huawei-acl-adv-3000] rule 10 permit ip source 10.1.1.0 0.0.0.255 // 2. 配置高级ACL匹配网段2的互联网流量排除访问内部服务器的流量 [Huawei] acl 3001 [Huawei-acl-adv-3001] rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.3.254 0 [Huawei-acl-adv-3001] rule 10 permit ip source 10.1.2.0 0.0.0.255 // 3. 创建策略路由节点10匹配ACL3000的流量下一跳指向ISP1网关 [Huawei] policy-based-route PBR permit node 10 [Huawei-policy-based-route-PBR-10] if-match acl 3000 [Huawei-policy-based-route-PBR-10] apply ip-address next-hop 202.1.2.3 // 4. 创建策略路由节点20匹配ACL3001的流量下一跳指向ISP2网关 [Huawei] policy-based-route PBR permit node 20 [Huawei-policy-based-route-PBR-20] if-match acl 3001 [Huawei-policy-based-route-PBR-20] apply ip-address next-hop 154.1.2.3 // 5. 在内网核心接口入方向应用策略路由 [Huawei] interface GigabitEthernet0/0/0 [Huawei-GigabitEthernet0/0/0] ip policy-based-route PBR​​​​​​​核心注意事项PBR 必须应用在流量的入方向仅对进入接口的流量生效若指定的下一跳不可达设备会 fallback 到普通路由表转发。双 ISP 场景下策略路由部署拓扑与流量路径示意图四MQC 方式实现 PBR对于 VLAN 粒度的流量调度使用 MQC 重定向方式配置更灵活案例需求VLAN10 的流量从高速链路10.1.20.1转发VLAN20 的流量从低速链路10.1.30.1转发配置如下// 1. 配置流分类匹配对应VLAN的流量 [Huawei] traffic classifier c_vlan10 [Huawei-classifier-c_vlan10] if-match vlan-id 10 [Huawei] traffic classifier c_vlan20 [Huawei-classifier-c_vlan20] if-match vlan-id 20 // 2. 配置流行为指定重定向下一跳 [Huawei] traffic behavior b_vlan10 [Huawei-behavior-b_vlan10] redirect ip-nexthop 10.1.20.1 [Huawei] traffic behavior b_vlan20 [Huawei-behavior-b_vlan20] redirect ip-nexthop 10.1.30.1 // 3. 配置流策略绑定分类与行为 [Huawei] traffic policy p_vlan [Huawei-trafficpolicy-p_vlan] classifier c_vlan10 behavior b_vlan10 [Huawei-trafficpolicy-p_vlan] classifier c_vlan20 behavior b_vlan20 // 4. 在 trunk 接口入方向应用流策略 [Huawei] interface GigabitEthernet 1/0/3 [Huawei-GigabitEthernet1/0/3] port link-type trunk [Huawei-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20 [Huawei-GigabitEthernet1/0/3] traffic-policy p_vlan inbound​​​​​​​四、智能流量管控架构设计与最佳实践一企业网络流量管控架构大中型企业的流量管控架构通常分为三层接入层部署基本 ACL 与二层 ACL实现同 VLAN 内的终端隔离阻止非法终端接入核心层部署高级 ACL 与策略路由实现跨 VLAN 流量过滤与多出口流量调度边界层结合 ACL 与防火墙策略实现南北向流量的安全过滤与 NAT 转换架构设计需遵循 “逐层过滤、尽早丢弃” 原则将无效流量在网络边缘拦截避免无效流量占用核心链路资源。二配置最佳实践ACL 规则编号建议间隔 5-10方便后续插入新规则避免频繁调整现有规则顺序策略路由配置必须添加例外规则避免网络管理流量、内部互通流量被误调度流策略应用前需进行测试避免规则配置错误导致业务中断建议先在非核心接口试点后再批量部署华为设备可通过display acl all、display traffic-policy applied-record等命令验证配置与命中统计排查流量管控异常企业三层流量管控架构拓扑图五、软考考点总结与备考建议一高频考点梳理ACL 与 PBR 在案例分析题中平均占比 15-20 分核心考点包括ACL 通配符掩码的计算尤其是可变长子网掩码对应的通配符转换时间 ACL 的生效规则判断多时间段的逻辑关系高级 ACL 的规则编写尤其是 TCP/UDP 端口的匹配语法策略路由的配置逻辑双 ISP 场景下的流量调度设计MQC 架构的组件关系与配置流程流分类、流行为、流策略的绑定关系二易错点提示华为设备 ACL 默认末尾隐含允许所有不要遗漏必要的拒绝规则策略路由必须应用在流量入方向出方向应用不生效通配符掩码与子网掩码逻辑相反配置时不要混淆设备自身发起的流量不受接口出方向 ACL 过滤排查故障时需注意该特性三备考建议掌握基本 / 高级 ACL 的配置语法熟练编写匹配特定网段、端口的规则重点练习双 ISP 场景下的策略路由配置明确例外规则的编写方法熟悉 MQC 架构的配置流程能够根据场景选择合适的流量管控实现方式结合历年真题的案例场景总结常见的配置错误与排查思路更多内容请关注⬇⬇⬇