园区网安全体系详解

一、园区网安全核心定义与技术背景

1.1 网络安全概念

园区网安全是保障企业、校园、园区内网稳定运行的基础安全体系，整体分为内部局域网安全与内外网交换安全两层防护逻辑。

两层含义：
1）内部局域网安全
主要针对园区内网环境，保护交换机、终端、服务器、内网链路等资源，核心目标是管控内网用户行为、防止内网攻击、杜绝内网越权访问，是本课程的学习重点。

2）内外网数据交换安全
针对内网与互联网、外网之间的边界传输场景，主要依靠防火墙、边界安全设备实现数据过滤、访问防护、攻击拦截。本课程不重点讲解边界外网安全，相关内容在专业安全课程展开。

重点关注内容：

• 物理安全：对机房设备、物理线路、机柜设备进行防护，通过机房上锁、进出登记、设备巡检等制度，防止硬件被人为破坏、私自插拔线路。
• 用户识别：通过认证机制区分合法员工、终端与外来非法人员、陌生设备，从身份层面区分入网主体。
• 访问控制：基于用户身份、部门、岗位划分权限，实现精细化资源隔离，例如限制普通学生无法访问教务管理系统。
• 病毒防范：通过终端杀毒、网关杀毒、系统补丁管控等方式，防止病毒、木马在内网扩散传播。

防护目标与保护对象：
全面覆盖园区网软硬件与数据资源，包括网络硬件设备、全网带宽资源、业务服务器与用户终端主机、网络传输数据包、用户账号密码等凭证，实现防破坏、防盗用、防窃听、防篡改、防伪造。

1.2 园区网常见安全威胁

园区网属于开放接入型网络，终端数量多、接入场景复杂，存在大量原生安全漏洞，常见威胁如下：

• 非法接入攻击：外来人员私自接入内网端口、无线WiFi，私自接入终端，恶意插拔网线、搭建私接路由、制造网络环路，导致全网广播风暴、网络瘫痪。
• 越权访问：内网合法用户默认全网互通，可私自跨网段访问核心服务器、财务系统、教务系统，造成敏感数据泄露、信息篡改。
• MAC泛洪攻击：攻击者向交换机端口发送海量伪造随机MAC报文，快速填满交换机MAC地址表，导致设备无法学习正常MAC，全网泛洪、业务卡顿中断。
• Telnet明文窃听：传统Telnet协议所有账号、密码、配置指令均明文传输，攻击者通过抓包工具可直接截取运维账号密码，劫持全网设备管理权限。

1.3 技术引入原因

传统园区网仅追求连通性与转发效率，无任何安全校验、身份识别、流量过滤能力。若无园区网安全体系，网络存在致命缺陷：

1. 内网无边界、无认证，任何人、任何设备均可随意入网，网络完全裸奔。
2. 无权限隔离机制，横向渗透、越权访问、数据泄露风险极高。
3. 无法防御MAC泛洪、环路、明文窃听等基础内网攻击，网络稳定性极差。
4. 无审计、无计费、无日志，事故发生后无法溯源、无法追责。

因此需要整套园区网安全体系，从接入、认证、授权、流量、运维多维度构建防护，实现合法入网、有权可控、攻击可防、行为可审。

1.4 核心工作机制

园区网安全整体遵循先认证、后授权、再转发的核心工作逻辑。通过身份校验确认入网合法性，通过权限策略控制访问范围，通过安全机制过滤异常流量、拦截攻击行为，最终实现内网终端可控、用户可控、流量可控、权限可控的全网安全闭环。

二、园区网安全整体架构（深度展开版）

2.1 AAA 三A认证体系

AAA是园区网安全的核心基础框架，属于标准化安全管控模型，不属于单一协议，可依托多种协议联合实现全网安全运维。

1）Authentication（身份认证）

核心作用是确认入网主体是否合法。网络对接入的用户或终端进行身份核验，判断是否允许入网。
常见认证方式：账号密码认证、MAC地址认证、端口认证、802.1X客户端认证等，是所有内网安全的前置条件。

2）Authorization（权限授权）

认证通过后，系统根据用户身份、账号组别、终端类型分配对应网络权限。
典型实现：员工账号划入业务VLAN、访客划入隔离VLAN、学生限制访问服务器网段，实现不同用户差异化网络权限。

3）Accounting（计费审计）

全程记录用户上网行为与资源使用情况，包括上线时长、流量消耗、访问日志、在线记录等。
作用：用于计费统计、行为追溯、安全审计、故障排查，是企业、校园网合规运维的必备能力。

技术实现：AAA为通用安全框架，实际组网可通过 802.1X、PPPoE、RADIUS协议 落地实现，适配企业、校园、园区各类场景。

2.2 端口接入控制技术（接入层核心防御）

端口是终端入网的第一道关口，端口接入控制用于从源头拦截非法终端与攻击行为。

1）802.1X 认证

属于客户端强认证模式，安全性最高。
工作方式：终端必须安装专用802.1X客户端，用户入网必须手动输入账号密码，认证通过后端口才放行流量。
适用场景：企业办公内网、涉密园区、固定员工有线接入场景。

2）MAC 认证

属于设备无感知认证。
工作方式：交换机提前录入合法终端MAC地址，设备接入后自动匹配MAC白名单，无需用户输入账号密码，即插即用。
适用场景：园区访客网络、打印机、摄像头等物联网哑终端。

3）端口安全

属于端口基础防护功能，是前两种认证的补充安全机制。
核心功能：限制端口最大学习MAC数量、绑定固定合法MAC地址，防御MAC泛洪攻击，拒绝非法MAC接入端口，防止终端私接、替换设备入网。

2.3 访问控制技术（全网流量精细化管控）

1）ACL 访问控制列表

园区网最基础的流量过滤技术，通过配置匹配规则，基于源IP、目的IP、端口、协议对报文进行允许或拒绝，实现网段隔离、服务限制、攻击流量拦截。

2）EAD 终端准入控制

聚焦终端本体安全检测，不只是校验账号密码。
可检测终端是否开启杀毒软件、是否存在高危漏洞、是否未打系统补丁、是否存在恶意软件。
终端不达标直接隔离、禁止入网，实现设备级安全准入。

3）PORTAL 网页认证

属于Web轻量化认证，无需安装客户端。
用户连接网络后，所有流量强制跳转认证页面，输入账号密码完成二次认证后才可上网。
部署简单、维护方便，是高校校园网、公共园区主流认证方案。

2.4 安全连接技术（设备运维安全）

Telnet 协议缺陷

Telnet为传统远程管理协议，全程明文传输，账号、密码、配置命令全部明文传输，极易被抓包窃听、篡改，存在极高运维安全风险，现已不推荐使用。

SSH 协议核心优势

• 全程加密通信，杜绝报文窃听
• 支持密钥身份验证，防伪造、防冒充
• 数据完整性校验，防止篡改攻击

生产环境强制规范：所有园区网交换机、路由器设备，统一使用SSH替代Telnet进行远程运维。

2.5 综合安全防范设备与方案

除入网管控外，园区网依靠专业安全设备构建全域防御体系：

• 防火墙：基于安全策略实现不同区域、不同网段的访问隔离与流量控制，是边界核心防护设备。
• IPS入侵防御系统：实时在线检测流量特征，主动识别漏洞攻击、渗透攻击、恶意扫描并实时阻断。
• VPN虚拟专用网络：在公网中建立加密私有隧道，实现异地分支、远程员工安全接入内网。
• 扩展方案：大型园区可叠加网闸、上网行为管理、态势感知等设备，实现全网可视化安全运维。

---

三、AAA、RADIUS 和 TACACS+ 协议详解

3.1 AAA 框架

3.1.1 框架定义

AAA 是由**认证(Authentication)、授权(Authorization)、计费(Accounting)**三部分组成的综合安全架构，属于园区网安全通用标准模型，并非某一款具体网络协议。该框架为全网用户、终端入网管控提供统一标准流程，广泛应用于接入认证、设备运维、权限划分等场景，是远程认证协议的理论基础。

3.1.2 实现方式

AAA 框架具备极强的兼容性，不绑定单一技术，可结合多种主流认证方式落地使用。常见实现方案包含 802.1X 端口认证、MAC 地址认证、Portal 网页认证等，同时也可依托专业远程协议完成集中化部署。

3.1.3 核心功能

• 认证：作为安全管控第一道关卡，校验用户名、密码、数字证书、设备MAC等身份信息，判断入网主体是否合法，只有认证通过才会进入下一环节。
• 授权：用户或终端认证成功后，系统根据身份等级、所属组别，定向下发网络访问权限、资源访问目录、ACL控制策略等规则，实现权限差异化管控。
• 计费：全程记录网络资源使用数据，包含终端上下线时长、流量收发大小、访问行为日志等，既满足计费收费需求，也可用于安全审计与故障追溯。

3.1.4 AAA 认证方案

本地认证

认证校验、账号信息存储、权限判定等全部流程，均在交换机、路由器等接入设备本地完成，无需额外部署独立认证服务器。

• 适用场景：网络架构简单、接入终端与网络设备数量有限的小型园区、办公分支网络。
• 主要特点：部署便捷，单设备独立运行即可完成认证，不依赖外网与服务器链路。
• 存在缺点：网络横向扩容后，需要在每一台网络设备上逐一手动添加账号、配置策略，整体运维效率低下，统一管理难度显著增加。

远程认证

将身份校验、数据存储、策略管控等核心逻辑统一部署在专用AAA服务器集群，接入设备仅作为代理节点，负责接收终端入网请求并转发报文，设备本地不再批量保存账号数据。

• 工作流程：终端发起认证请求 → 接入设备转发报文至AAA服务器 → 服务器完成校验并返回结果 → 接入设备依据结果执行放行/阻断操作。
• 核心优势：实现全网账号、权限、安全策略集中化管理，单台服务器可同时承载上千台接入设备并发请求，管理效率极高。
• 适用场景：中大型园区、高校、企业总部等终端数量庞大、组网复杂的规模化网络。
• 典型实现协议：RADIUS、TACACS+

---

3.2 RADIUS 协议

3.2.1 协议概述

RADIUS 全称为 Remote Authentication Dial-In User Service，即远程认证拨号用户服务，是目前园区网、运营商网络中应用最广泛的远程AAA协议。

协议核心特点：

1. 采用**客户端/服务器（C/S）**架构，接入设备为客户端，独立服务器为服务端，分工明确。
2. 底层基于 UDP 协议传输，认证服务端口为1812，计费服务端口为1813，报文转发时延低、转发效率高。
3. 客户端与服务器之间依靠共享密钥进行身份互验，防止非法设备伪造请求接入服务器。
4. 报文采用 TLV（类型-长度-值） 结构，格式标准、拓展性强。
5. 协议预留26号专用属性字段，支持各厂商进行自定义功能扩展，适配不同厂商设备与定制化业务。

---

3.2 RADIUS 协议

3.2.1 协议概述

RADIUS 全称为 Remote Authentication Dial-In User Service，即远程认证拨号用户服务，是目前园区网、运营商网络中应用最广泛的远程AAA协议。

协议核心特点：

1. 采用**客户端/服务器（C/S）**架构，接入设备为客户端，独立服务器为服务端，分工明确。
2. 底层基于 UDP 协议传输，认证服务端口为1812，计费服务端口为1813，报文转发时延低、转发效率高。
3. 客户端与服务器之间依靠共享密钥进行身份互验，防止非法设备伪造请求接入服务器。
4. 报文采用 TLV（类型-长度-值） 结构，格式标准、拓展性强。
5. 协议预留26号专用属性字段，支持各厂商进行自定义功能扩展，适配不同厂商设备与定制化业务。

---

3.2.2 消息交互流程

整个交互分为认证阶段和计费阶段两大环节，接入设备承担双重角色：面向终端用户时，扮演认证代理服务器；面向RADIUS服务器时，扮演客户端。

序号	交互方向	报文/操作说明	阶段
1	HostA → RADIUS Client	用户在终端输入用户名/密码，发起入网请求	认证阶段
2	RADIUS Client → RADIUS Server	接入设备将用户凭证封装为认证请求包，转发至服务器	认证阶段
3	RADIUS Server → RADIUS Client	服务器校验账号密码，返回认证接受/拒绝包	认证阶段
4	RADIUS Client → RADIUS Server	认证通过后，发送计费开始请求包	计费阶段
5	RADIUS Server → RADIUS Client	服务器回复计费开始请求响应包，确认上线	计费阶段
6	HostA ↔ 网络资源	用户被允许访问网络资源	业务访问阶段
7	RADIUS Client → RADIUS Server	用户下线时，发送计费结束请求包	计费阶段
8	RADIUS Server → RADIUS Client	服务器回复计费结束请求响应包，确认下线并留存日志	计费阶段
9	RADIUS Client → HostA	接入设备通知用户访问结束，断开网络连接	下线阶段

认证阶段

1. 用户在终端输入账号、密码等身份凭证，发起入网请求；
2. 接入设备接收请求，将数据封装为标准RADIUS报文，转发至指定RADIUS服务器；
3. 服务器检索本地账号数据库完成校验，向接入设备返回接受或拒绝结果；
4. 接入设备根据返回结果，放行流量或直接阻断终端接入。

计费阶段

1. 终端认证上线后，接入设备主动向服务器发送开始计费请求，服务器回复确认报文；
2. 终端下线、断开网络时，接入设备发送结束计费请求，服务器记录本次上网数据并回复确认；
3. 服务器汇总时长、流量等数据，完成计费统计与日志留存。

---

3.2.3 报文结构与加密方式

RADIUS 报文整体分为「头部」和「属性」两部分，头部包含4个关键字段，属性部分采用TLV（类型-长度-值）结构：

字段	说明
Code	报文类型标识，决定报文功能
Identifier	请求/响应匹配标识，用于关联同一会话
Length	整个RADIUS报文的长度
Authenticator	校验字段，用于客户端与服务器身份互验
Attribute	业务数据载体，采用TLV格式存储用户名、密码等信息

• Code字段核心规则：
  • 取值 1、2、3：认证类报文（认证请求、认证接受、认证拒绝），完成身份校验全流程交互；
  • 取值 4、5：计费类报文（计费请求、计费响应），用于上下线计费数据交互。

加密方式：协议仅对报文头部、用户密码字段进行加密处理，报文内其余字段均以明文形式传输，存在一定的数据窃听风险。

---

3.2.4 RADIUS 属性与扩展属性

Attribute字段携带认证、授权、计费相关的业务信息，是RADIUS协议传递数据的核心载体，整体采用（Type, Length, Value）三元组格式，即TLV结构，具备良好的可扩展性。

常用标准属性如下表所示：

编号	属性名称	说明
1	User-Name	传输终端用户的用户名
2	User-Password	传输用户密码，受共享密钥加密保护
4	NAS-IP-Address	上报接入设备（NAS）的IP地址
8	Framed-IP-Address	为用户分配的IP地址
11	Filter-ID	用户的访问控制列表（ACL）标识
15	Login-Service	用户登录时可使用的服务类型
26	Vendor-Specific	厂商自定义扩展属性
31	Calling-Station-ID	用户终端的MAC地址或拨号号码

26号属性（Vendor-Specific）为协议预留的厂商扩展字段，专门用于实现协议标准未定义的私有功能，其报文结构如下：

字段	说明
Type	属性类型，固定为26
Length	整个扩展属性的长度
Vendor-ID	厂商ID，标识设备所属厂商
Type (Specified)	厂商自定义的子属性类型
Length (Specified)	厂商自定义子属性的长度
Specified attribute Value	厂商自定义子属性的值

该结构允许各厂商基于RADIUS协议，实现差异化的业务需求（如私有授权规则、特殊计费策略等），同时保持协议的兼容性。

---

3.3 TACACS+ 协议

3.3.1 协议概述

TACACS+（Terminal Access Controller Access Control System Plus，终端访问控制器控制系统协议）是一种增强的安全协议，对标RADIUS的增强型远程AAA协议，重点强化了安全性与架构灵活性，多用于企业核心设备运维、高安全等级园区网络。

H3C设备实现的HWTACACS是在TACACS+基础上进行了功能增强的安全协议，可实现多种类型用户的AAA功能。

核心增强特性：

1. 底层基于 TCP 协议传输，默认使用端口49。TCP具备重传、校验、连接保活机制，传输可靠性远高于UDP，适配对稳定性要求高的设备运维场景。
2. 采用全报文加密机制，整份交互报文都会被加密处理，而非仅加密局部字段，彻底抵御抓包窃听、数据篡改攻击，安全等级大幅提升。
3. 架构解耦，认证、授权、计费三大模块支持分离部署，可将不同功能部署在多台独立服务器上，实现架构拆分与精细化管理。

---

3.3.2 消息交互流程

TACACS+采用分步式AAA交互流程，认证、授权、计费三个阶段完全独立，接入设备作为TACACS+ Client，与TACACS+ Server完成全流程交互。

1. 用户发起登录请求
   用户（HostA）向接入设备（TACACS+ Client）发起登录请求，启动AAA交互流程。

2. 认证阶段（多轮交互）

   1. 接入设备向TACACS+ Server发送认证开始报文，正式发起认证流程；
   2. 服务器返回认证回应报文，向接入设备请求用户名；
   3. 接入设备向用户请求输入用户名；
   4. 用户输入用户名后，接入设备发送认证持续报文，将用户名提交给服务器；
   5. 服务器返回认证回应报文，向接入设备请求密码；
   6. 接入设备向用户请求输入密码；
   7. 用户输入密码后，接入设备发送认证持续报文，将密码提交给服务器；
   8. 服务器校验身份信息，返回认证回应报文，告知认证结果（通过/拒绝）。

3. 授权阶段

   1. 认证通过后，接入设备向服务器发送授权请求报文，申请本次会话的操作权限；
   2. 服务器根据用户策略返回授权回应报文，下发允许的命令、访问控制列表等权限配置；
   3. 接入设备确认授权通过，向用户返回登录成功提示，用户可开始执行授权范围内的操作。

4. 计费阶段

   1. 用户登录成功后，接入设备向服务器发送计费开始报文，上报本次会话的上线信息；
   2. 服务器返回计费开始报文回应，确认上线信息接收；
   3. 用户退出登录时，接入设备发送计费结束报文，上报本次会话的时长、操作记录等数据；
   4. 服务器返回计费结束报文回应，确认计费数据接收并完成日志留存。

---

3.3.3 报文结构与类型

TACACS+报文头部结构包含以下关键字段：

字段	说明
Major Version	主版本号，标识协议主版本
Minor Version	次版本号，标识协议次版本
Type	报文类型标识，区分认证、授权、计费类报文
Seq_no	报文序列号，从1开始递增，用于匹配请求与响应报文
Flags	标志位，包含加密标识等控制信息
Session_ID	会话标识，唯一标识一次AAA交互会话
Length	整个TACACS+报文的长度，用于校验报文完整性

按照AAA三大功能模块，TACACS+划分了独立的报文体系，各流程互不干扰：

• 认证模块报文：包含Start、Continue、Reply三种类型，支持多轮交互式身份校验，适配用户名/密码分步输入的场景；
• 授权模块报文：包含Request和Response两种类型，完成权限策略的请求与下发；
• 计费模块报文：包含Request和Response两种类型，实现操作日志、资源使用数据的上报与记录。

---

3.4 本章总结

对RADIUS与TACACS+两大主流远程AAA协议进行核心差异汇总对比：

1. 传输层协议：RADIUS 使用 UDP 协议；TACACS+ 使用 TCP 协议。
2. 加密机制：RADIUS 仅加密报文头部与密码字段；TACACS+ 实现整份报文全加密。
3. 架构特性：RADIUS 的认证与授权功能绑定，无法拆分；TACACS+ 认证、授权、计费可独立部署。
4. 默认端口：RADIUS 认证端口1812、计费端口1813；TACACS+ 统一使用端口49。

---

四、802.1X 协议

4.1 协议概述

802.1X 是一种基于端口的网络接入控制协议（Port-Based Network Access Control Protocol），是园区网接入认证的主流标准协议之一，广泛应用于企业、高校、运营商的有线/无线接入场景，为用户入网提供统一的身份校验与权限管控机制。

802.1X 系统为典型的 Client/Server 结构，包含三个核心实体：

• 客户端（Client）：终端用户设备，需安装 802.1X 客户端发起认证请求；
• 设备端（Device）：接入交换机/无线控制器，作为认证代理，负责转发认证报文、执行端口授权控制；
• 认证服务器（Server）：独立部署的 RADIUS 服务器，负责完成用户身份校验、权限下发与计费统计。

---

4.2 基本概念与核心机制

1. 端口控制模式

• 受控/非受控端口：设备端端口分为两类，非受控端口始终开放，仅用于传输认证报文；受控端口默认关闭，仅在认证通过后开放业务流量。
• 授权/非授权状态：
  • 强制授权模式：端口始终处于授权状态，无需认证即可接入网络；
  • 强制非授权模式：端口始终处于非授权状态，拒绝所有用户接入；
  • 自动识别模式：端口默认非授权，用户认证通过后自动切换为授权状态。
• 受控方向：
  • 单向受控：仅控制终端到网络的上行流量，网络到终端的下行流量不受限制；
  • 双向受控：同时控制上行与下行流量，认证通过后双向流量均可正常转发。
• 端口接入控制方式：
  • 基于端口：以端口为单位进行认证，同一端口下所有用户共享认证状态；
  • 基于 MAC：以终端 MAC 地址为单位进行认证，同一端口下可支持多个用户独立认证。

2. 认证触发方式

• 客户端主动触发：由终端主动发送 EAPOL-Start 报文发起认证流程；
• 设备端主动触发：交换机检测到端口接入终端后，主动发送 EAP-Request/Identity 报文触发认证。

3. 认证方式分类

• EAP 中继方式：设备端仅转发 EAP 报文，不解析认证内容，完整的 EAP 交互由客户端与 RADIUS 服务器直接完成，支持 EAP-MD5、EAP-TLS、EAP-TTLS、PEAP 等多种认证算法；
• EAP 终结方式：设备端终结 EAP 报文，将认证信息转换为 PAP/CHAP 格式再转发给 RADIUS 服务器，对服务器兼容性要求较低。

---

4.3 核心报文格式

1. EAPOL 消息封装格式

EAPOL（EAP over LAN）是 802.1X 在以太网中传输 EAP 报文的封装协议，报文结构如下：

字段	说明
Protocol Version	协议版本号，标识 EAPOL 版本
Type	EAPOL 数据帧类型，包括 EAPOL-Start、EAPOL-Logoff 等
Packet Body Length	数据体长度，标识后续报文内容的字节数
Packet Body	数据内容，根据不同 Type 携带对应的 EAP 报文

2. EAP-Packet 封装格式

EAP（Extensible Authentication Protocol，可扩展认证协议）是 802.1X 的核心认证协议，报文结构如下：

字段	说明
Code	报文类型，包括 Request、Response、Success、Failure 四类
Identifier	报文序列号，用于匹配请求与响应报文
Length	整个 EAP 报文的长度
Data	数据内容，包含具体的认证算法与用户信息

为支持 EAP 认证，RADIUS 协议新增了两个专用 TLV 属性：

• EAP-Message：用于封装完整的 EAP 报文内容；
• Message-Authenticator：用于校验 EAP 报文完整性，防止篡改。

---

4.4 认证流程

1. EAP 中继方式认证流程

1. 客户端发送 EAPOL-Start 报文，向设备端发起认证请求；
2. 设备端回复 EAP-Request/Identity 报文，请求客户端提供用户名；
3. 客户端回复 EAP-Response/Identity 报文，携带用户名；
4. 设备端将 EAP 报文封装为 RADIUS Access-Request 报文，转发至 RADIUS 服务器；
5. 服务器返回 RADIUS Access-Challenge 报文，携带认证挑战信息；
6. 设备端转发 EAP-Request/MD5 challenge 报文至客户端；
7. 客户端回复 EAP-Response/MD5 challenge 报文，携带挑战响应；
8. 设备端再次封装为 RADIUS Access-Request 报文转发至服务器；
9. 服务器校验通过后，返回 RADIUS Access-Accept 报文；
10. 设备端向客户端发送 EAP-Success 报文，端口切换为授权状态，用户可正常访问网络；
11. 用户下线时，发送 EAPOL-Logoff 报文，端口恢复为非授权状态。

2. EAP 终结方式认证流程

与 EAP 中继方式流程基本一致，区别在于设备端会终结 EAP 报文，将用户认证信息转换为 PAP/CHAP 格式后，再通过 RADIUS 协议与服务器交互，服务器收到的是标准的 RADIUS 认证请求，无需额外解析 EAP 内容。

---

4.5 典型扩展功能

1. Dynamic VLAN（动态 VLAN）

用户通过 802.1X 认证后，RADIUS 服务器会根据用户身份下发对应的 VLAN 信息，设备端自动将用户端口加入指定 VLAN，实现不同用户的网络权限差异化管控，适用于企业部门隔离、访客与员工网络分离等场景。

2. Guest VLAN（访客 VLAN）

未认证或认证失败的用户，可自动加入 Guest VLAN，访问 VLAN 内的受限资源（如客户端软件更新服务器、公告页面），无需认证即可完成客户端下载或升级，提升用户体验。

---

4.6 与其他认证方式对比

对比项	802.1X	PPPOE 认证	WEB 认证
是否需要客户端	是（Windows 系统自带客户端）	是（Windows 系统自带客户端）	否
业务报文效率	高	低，存在封装开销	高
组播支持能力	好	低，对设备性能要求高	好
有线网安全性	扩展后可用	可用	可用
设备端要求	低	高	较高
增值应用支持	简单	复杂	复杂

802.1X 适用于运营管理相对简单、业务复杂度较低的企业及园区网络，是低成本、高可靠的接入认证解决方案。

---

五、MAC 地址认证

5.1 协议概述

MAC 地址认证是一种基于端口和 MAC 地址控制网络访问权限的轻量级接入认证技术，核心特点是无感知认证，无需用户安装客户端软件，也无需手动输入用户名和密码，设备会自动将客户端 MAC 地址识别为用户名和密码完成认证。

其安全机制基于 MAC 白名单校验，非法用户因 MAC 地址未在授权列表中，无法通过认证，从而被拒绝接入网络。

核心分类

• 认证方式：
  • 远程 RADIUS 认证：设备作为 RADIUS 客户端，与服务器配合完成认证；
  • 本地认证：直接在设备上完成认证，需配置本地用户名和密码（通常使用 MAC 地址格式）。
• 用户名类型：
  • MAC 地址作为用户名：直接使用终端 MAC 地址作为认证标识，配置灵活；
  • 固定用户名：所有终端使用统一固定用户名认证，较少使用。

---

5.2 两种认证方式的工作流程

1. 远程 RADIUS 认证流程

设备作为 RADIUS 客户端，与独立部署的 RADIUS 服务器配合完成认证操作，实现账号集中管理与统一计费。

1. 终端接入端口，交换机自动获取终端 MAC 地址；
2. 交换机将 MAC 地址封装为 RADIUS 认证请求，发送至 RADIUS 服务器；
3. 服务器校验 MAC 地址是否在授权列表中，返回认证结果；
4. 交换机根据服务器指令，开放或关闭端口业务流量。

2. 本地认证流程

认证过程直接在设备上完成，无需依赖外部服务器，适合小规模网络场景。

1. 终端接入端口，交换机获取终端 MAC 地址；
2. 交换机匹配本地配置的 MAC 地址用户名/密码；
3. 匹配成功则开放端口流量，匹配失败则拒绝接入。

---

5.3 典型扩展功能

1. Dynamic VLAN（动态 VLAN）

用户通过 MAC 地址认证后，RADIUS 服务器会下发授权 VLAN 信息，设备自动将端口加入指定 VLAN，用户可正常访问互联网及授权资源，实现基于身份的网络权限差异化管控。

2. Guest VLAN（访客 VLAN）

用户未认证或认证失败时，端口会自动加入 Guest VLAN，用户仅可访问该 VLAN 内的受限资源，如充值服务器、客户端下载服务器等。

• 典型应用场景：运营商校园网热点（认证前可下载客户端）、企业网络欠费限制场景。

---

5.4 典型配置流程（H3C）

1. 全局配置

进入系统视图
[H3C] system-view

开启全局 MAC 地址认证功能
[H3C] mac-authentication

配置 MAC 地址用户名格式（以 MAC 地址为例）
[H3C] mac-authentication user-name-format mac-address without-hyphen lowercase

配置 MAC 认证使用的认证域
[H3C] mac-authentication domain imc-domain

2. 端口配置

进入接入端口视图
[H3C] interface GigabitEthernet 1/0/1

开启端口 MAC 地址认证功能
[H3C-GigabitEthernet1/0/1] mac-authentication

退出端口视图
[H3C-GigabitEthernet1/0/1] quit

3. 查看与维护

查看所有端口 MAC 认证用户信息
<H3C> display mac-authentication

查看指定端口 MAC 认证用户连接详情
<H3C> display mac-authentication connection interface GigabitEthernet 1/0/1

清除 MAC 地址认证统计信息
<H3C> reset mac-authentication statistics

保存配置
[H3C] save

---

六、端口安全（Port Security）

6.1 概述

端口安全是交换机针对接入端口实现的MAC地址准入控制技术，主要用于管控终端设备接入权限，常作为802.1X认证、MAC地址认证的辅助安全方案，广泛应用于企业园区、办公楼、宿舍等内网接入场景。

该技术核心原理为：在交换机接入端口上绑定合法终端MAC地址，同时限制端口最大可接入终端数量。仅列表内的合法MAC地址能够正常转发数据，陌生MAC地址会被拦截，以此阻止非法主机私自接入网络。同时可有效防范MAC地址漂移、MAC地址泛洪、仿冒终端等常见内网攻击，提升接入层网络安全性。

适用场景：固定工位、机房设备、涉密内网等对终端接入有严格管控的环境；不适用于人员流动大、终端频繁更换的公共区域。

6.2 核心工作原理与运行机制

6.2.1 安全MAC地址分类

端口安全依靠安全MAC地址表实现管控，表中记录端口允许通过的终端MAC地址，分为三类：

1. 静态安全MAC地址
   管理员手动在端口下配置固定MAC地址，永久生效，设备重启后配置不会丢失。该类地址优先级最高，不受端口最大MAC数量限制，适合固定服务器、核心办公主机等设备。
2. 动态安全MAC地址
   端口开启自动学习后，动态学习接入终端的MAC地址并加入安全表项。表项仅在设备运行期间生效，设备重启后自动清空，适合临时固定终端。
3. Sticky（粘滞）安全MAC地址
   将端口动态学习到的MAC地址转换为静态表项，自动保存至配置文件，重启不丢失。兼顾自动学习与永久保存的特点，是日常组网中最常用的类型。

6.2.2 端口安全工作模式

不同模式决定端口MAC地址学习规则与准入策略，H3C设备主流模式如下：

1. noRestrictions 非限制模式
   端口安全功能开启，但不做接入限制，MAC地址正常学习、转发，仅开启基础功能，无安全管控能力，为端口安全默认模式。
2. autolearn 自动学习模式
   端口主动学习接入终端MAC地址并生成动态安全表项；当学习数量达到端口设置的最大MAC数后，停止学习新地址。后续陌生MAC接入直接拒绝转发，仅允许已学习的合法终端通信。该模式支持MAC地址老化功能。
3. secure 静态安全模式
   端口不再自动学习任何新MAC地址，仅允许手动配置的静态安全MAC地址通行，所有未登记终端直接拦截，安全等级最高。该模式不支持MAC地址老化。

补充：安全MAC地址老化机制

老化功能用于自动清理长期离线的MAC表项，释放端口接入资源，仅在autolearn模式下生效。

• 绝对老化：从MAC地址学习完成开始计时，到达超时时间直接删除表项，与终端是否在线无关。
• 相对老化：终端离线后开始计时，超时未重新上线则删除表项，为工程中常用模式。

6.2.3 与认证协议联动模式

端口安全可和前文802.1X、MAC地址认证组合使用，实现多重准入校验：

1. userLogin：配合802.1X基础认证，认证通过即可入网，不限制终端MAC。
2. userLoginSecure：802.1X+端口安全联动，用户认证通过后，仅该终端MAC可使用端口，防止一号多用。
3. macAddressWithRadius：结合RADIUS的MAC地址认证，由服务器统一校验MAC合法性。
4. macAddressElseUserLoginSecure：混合认证模式，优先进行MAC地址认证；认证失败则跳转至802.1X认证。

6.3 违规处理方式与关键安全特性

6.3.1 违规动作（入侵处理模式）

当端口收到非安全MAC地址的数据帧，或接入终端数量超出最大限制时，交换机触发违规处理，共有三种处置策略：

1. blockmac 阻塞MAC地址
   将违规终端的MAC地址加入黑名单，分为永久阻塞与临时阻塞。H3C设备默认为永久阻塞，该MAC重启设备、重启端口均无法通过此端口通信，端口本身保持正常，其他合法终端不受影响，适合长期拦截非法设备。
2. shutdown 关闭端口
   直接将当前接入端口置为Down状态，整端口禁用，所有终端均无法上网。需管理员手动恢复端口，安全级别最高，多用于高安全涉密网络。
3. protect 保护模式
   仅丢弃违规终端的数据报文，不告警、不阻塞端口、不拉黑MAC，合法终端正常通信。仅做基础流量拦截，适用于普通办公网络。

6.3.2 核心扩展特性

1. 最大接入数量限制

人为指定单个端口允许同时接入的终端总数，超出数量的设备一律拒绝接入。可以有效防止私接路由器、交换机扩展端口，杜绝多终端共享一个网口的行为。

2. MAC地址溢出防护

当端口接入终端数达到最大MAC地址数量上限，新终端接入即判定为违规，触发预设入侵动作，从源头防范MAC地址泛洪攻击，避免交换机MAC地址表被占满导致全网瘫痪。

3. NeedToKnow 地址隔离特性

基于目的MAC地址做二次过滤，端口仅能和安全MAC列表内的设备互通，不同端口下的终端互相隔离。主要用于机房、学生宿舍，实现端口之间流量隔离，抑制广播风暴与横向渗透攻击。

4. 入侵告警特性

设备检测到违规接入行为后，主动生成日志、告警信息并上报网管平台，管理员可实时查看非法接入记录，便于网络运维与安全溯源。

---

6.4 典型配置流程（H3C）

1. 自动学习模式配置（autolearn + 老化功能）

进入系统视图
[H3C] system-view

进入接入端口
[H3C] interface GigabitEthernet 1/0/1

开启端口安全功能
[H3C-GigabitEthernet1/0/1] port-security enable

配置端口安全模式为自动学习
[H3C-GigabitEthernet1/0/1] port-security port-mode autolearn

设置端口最大可学习MAC地址数量
[H3C-GigabitEthernet1/0/1] port-security max-mac-count 3

配置违规处理方式为阻塞违规MAC
[H3C-GigabitEthernet1/0/1] port-security intrusion-mode blockmac

配置MAC地址老化时间为30分钟
[H3C-GigabitEthernet1/0/1] port-security aging time 30

开启相对老化模式
[H3C-GigabitEthernet1/0/1] port-security aging type inactivity

退出接口视图
[H3C-GigabitEthernet1/0/1] quit

2. 静态安全MAC配置（secure 模式）

进入接入端口
[H3C] interface GigabitEthernet 1/0/1

开启端口安全功能
[H3C-GigabitEthernet1/0/1] port-security enable

配置端口安全模式为静态绑定
[H3C-GigabitEthernet1/0/1] port-security port-mode secure

手动添加静态安全MAC地址及所属VLAN
[H3C-GigabitEthernet1/0/1] port-security mac-address 0011-2233-4455 vlan 1

退出接口视图
[H3C-GigabitEthernet1/0/1] quit

3. 混合认证模式配置（优先MAC认证，失败走802.1X）

进入系统视图
[H3C] system-view

进入接入端口
[H3C] interface GigabitEthernet 1/0/1

开启端口安全功能
[H3C-GigabitEthernet1/0/1] port-security enable

配置混合认证模式
[H3C-GigabitEthernet1/0/1] port-security port-mode macAddressElseUserLoginSecure

退出接口视图
[H3C-GigabitEthernet1/0/1] quit

4. 查看与维护命令

查看全局及所有端口安全配置
<H3C> display port-security

查看指定端口安全详情
<H3C> display port-security interface GigabitEthernet 1/0/1

查看端口安全MAC地址表
<H3C> display port-security mac-address

清除端口安全统计信息
<H3C> reset port-security statistics interface GigabitEthernet 1/0/1

恢复被shutdown的端口
[H3C-GigabitEthernet1/0/1] undo shutdown

保存配置
[H3C] save

6.5 常见问题说明

1. 端口已开启802.1X/MAC认证时，部分端口安全模式无法修改，需先下线在线用户。
2. 静态安全MAC地址无法在autolearn模式下配置，需切换为secure模式后再操作。
3. secure静态安全模式不支持MAC地址老化功能，仅autolearn模式可配置老化。
4. 端口被shutdown关闭后，必须使用undo shutdown手动恢复，端口不会自动重启。
5. 设备重启后，动态安全MAC表项会清空，静态、粘滞安全MAC地址配置保留。

---

七、网络访问控制

7.1 EAD 终端准入防御

7.1.1 EAD 概述

EAD 全称为终端准入防御（Endpoint Admission Defense），是H3C iMC智能管理平台中的专用安全组件。它不只是单纯验证用户身份，核心作用是对入网终端开展全方位安全状态检测，在源头把控终端安全，避免带毒、存在系统漏洞的设备接入内网。

日常检测分为三大类：一是检查终端是否正常安装并运行杀毒软件；二是核查终端是否按照企业要求配置统一安全策略；三是检测操作系统是否及时安装高危安全补丁。

该技术具备智能联动能力：一旦终端某项检测不达标，系统会自动跳转对应服务页面。例如未安装杀毒软件，页面直接指向杀毒软件下载服务器；部分版本还支持后台静默自动安装缺失的安全组件，简化用户操作。

从部署场景来看，EAD架构复杂、部署成本高、对授权有要求，主要部署在安全管控严格的大型企业网络；功能对于小型组网冗余，因此中小型企业一般不会部署。

7.1.2 EAD 工作原理

EAD 形成了身份校验—安全检测—违规隔离—修复复检的闭环工作流程，多设备协同完成管控，具体步骤如下：

1. 用户身份验证：用户通过终端客户端提交账号、密码，接入交换机将认证报文转发至iMC平台，先完成身份鉴权，账号非法则直接拒绝入网。
2. 安全策略检查：身份认证通过后，iMC策略服务器下发检测规则，联动安全策略服务器，对终端安全配置逐项校验。
3. 防病毒与补丁检测：继续核查杀毒软件运行状态、病毒库版本、系统补丁完整性等安全项。
4. 结果分流处理
   • 检测合格：服务器下发正常网络权限与业务VLAN，终端可正常访问全网资源；
   • 检测不合格：终端被划入隔离区，仅能访问隔离区内资源，无法访问核心业务网络。
5. 隔离区修复与复检：隔离区内部署病毒服务器、补丁服务器，终端完成安全修复后会自动发起二次检测，复检合规即可切换至正常网络权限。

7.1.3 EAD 基础配置

前置条件

组网中必须提前部署H3C iMC管理平台，并且完成EAD组件的安装与授权激活，该功能为付费组件，未授权无法使用。

1. 配置EAD策略服务器

# 在RADIUS模板视图下，指定EAD策略服务器IP地址
[SWA-radius-name] security-policy-server ip-address

作用：让交换机将终端安全检测报文转发至指定的EAD服务器，完成数据交互。

2. 配置EAD免认证网段

# 设置不受EAD安全管控的豁免网段
[SWA] dot1x ead-assistant free-ip ip-address {mask-address | mask-length}

作用：打印机、服务器等哑终端所在网段可设置为免认证，跳过安全检测直接放行。

3. 配置修复页面重定向URL

# 配置终端异常时跳转的修复页面地址
[SWA] dot1x ead-assistant url url-string

作用：终端安全检测不合格时，自动跳转至补丁、杀毒软件下载页面。

---

7.2 Portal 网页认证

7.2.1 Portal 概述

Portal 也常被称作WEB认证，是当下园区网、无线网络、公共区域主流的轻量化认证技术。和802.1X、EAD相比，最大优势是无需在终端安装专用客户端，依托浏览器就能完成登录认证。

技术特点：终端在完成网页认证之前，可以正常访问局域网本地资源，仅外网、核心业务资源被拦截；整体安全管控力度弱于802.1X，仅侧重上网权限控制，缺少深度终端安全检测能力。

适用场景：广泛应用于校园网、酒店、商场、企业访客网络等大规模移动终端接入场景；由于内网防护能力不足，不适合安全要求严苛的涉密内网。

7.2.2 Portal 认证分类

按照终端与接入设备之间的组网架构，分为两种认证模式，对应不同配置方式：

1. 二层认证：终端与接入交换机直连，中间无路由器、三层交换机等三层设备，报文二层转发，配置简单，多用于室内有线、近距离无线接入。
2. 三层认证：终端与接入设备之间存在三层转发设备，跨网段传输认证报文，组网复杂，配置难度更高，多用于大型园区跨楼栋组网。

7.2.3 Portal 典型配置示例

组网环境说明

Portal服务器：192.168.0.111/24
RADIUS服务器：192.168.0.112/24
安全策略服务器：192.168.0.113/24
Portal服务默认通信端口：50100

完整配置命令

# 进入系统视图
[H3C] system-view

# 创建名称为newpt的Portal服务器实例
[H3C] portal server newpt

# 配置Portal服务器IP、共享密钥，密钥需与服务器端保持一致
[H3C-portal-server-newpt] ip 192.168.0.111 key simple portal

# 指定认证网页访问地址
[H3C-portal-server-newpt] url http://192.168.0.111/portal

# 退出Portal服务器视图
[H3C-portal-server-newpt] quit

# 进入终端接入接口
[H3C] interface GigabitEthernet 1/0/1

# 接口开启二层直连Portal认证
[H3C-GigabitEthernet1/0/1] portal enable method direct

# 退出接口视图
[H3C-GigabitEthernet1/0/1] quit

# 保存配置
[H3C] save

业务特点与实际应用

1. 终端接入网络后，随意访问网页即可自动弹出认证界面，无需手动输入网址，用户体验好；
2. 防火墙、无线AC、上网行为管理等设备均内置标准化网页模板，无需额外开发页面，开箱即用；
3. 工程部署中，Portal很少单独在接入交换机配置，大多部署在出口防火墙、无线控制器等边界设备上，实现全网统一认证。

---

7.3 SSL VPN

7.3.1 客户端特性

SSL VPN 基于SSL加密协议，实现公网环境下安全访问企业内网，是远程移动办公的核心技术。

1. 全平台兼容：支持Windows、Mac、Linux、Android、iOS等主流终端系统，适配电脑、手机、平板各类设备；
2. 多方式认证：支持密码登录、数字证书登录，两种方式可组合实现双因素认证，提升接入安全性；
3. 自动运维：客户端具备在线自动更新功能，持续修复漏洞，保障远程接入安全。

7.3.2 部署趋势

1. 轻量化转型：逐步从传统桌面客户端，向Web网页版演进，减少终端软件安装依赖；
2. 流程自动化：优化登录逻辑，支持记住账号、自动重连，降低远程办公操作成本。

7.3.3 典型可访问资源

终端接入SSL VPN后，可按需访问企业不同内网资源：

• L3VPN：访问企业全网所有内网资源；
• Terminal Service跳板机：远程登录运维服务器，管理机房网络设备；
• HTTP/HTTPS应用：访问企业OA、ERP等内部Web业务系统。

7.3.4 操作注意事项

1. 传统客户端模式下，终端首次使用必须安装EasyConnect专用客户端；网页版无需安装；
2. 支持会话保持、断线自动重连，网络短暂中断后可自动恢复连接；
3. 手动注销VPN连接后，当前权限立即失效，再次访问内网必须重新完成认证。

---

7.4 端口安全（知识点回顾）

7.4.1 核心工作模式

1. autolearn 自动学习模式：端口动态学习接入终端MAC地址，当学习数量达到预设上限后，停止学习新MAC地址，拒绝陌生终端接入。
2. secure 静态安全模式：端口禁止自动学习MAC地址，仅允许管理员手动绑定的合法MAC地址通信，安全等级最高。

7.4.2 核心安全机制

1. NeedToKnow特性：校验报文目的MAC地址，实现端口之间流量隔离，抑制广播风暴与内网横向攻击；
2. 入侵检测机制：监控报文源MAC地址，识别非法终端接入行为，并触发对应处罚动作。

7.4.3 功能与配置规范

1. 违规处置：检测到非法接入时，可执行端口关闭、日志告警等操作；
2. 联动功能：支持联动Guest VLAN、Dynamic VLAN，对未认证终端做权限隔离；终端认证通过后，MAC地址自动加入安全白名单；
3. 数量限制：可手动配置端口最大可学习MAC地址数，防止私接交换机、路由器拓展网口。

---

八、访问控制列表（ACL）

8.1 概述

访问控制列表（ACL）是路由器、交换机、防火墙设备中基础的流量管控技术。它由多条有序规则组成，通过匹配报文特征，执行允许或拒绝动作，实现流量过滤、访问权限控制、恶意攻击拦截。

设备按照从上至下顺序匹配规则，命中规则后立即执行动作，不再继续匹配；若所有规则均未匹配，设备默认拒绝所有流量。

核心用途

1. 控制内网用户访问外网、核心服务器的权限；
2. 过滤病毒、攻击报文，提升网络安全；
3. 为NAT、QoS、路由策略等功能做流量分类。

部署基本原则

• 基本ACL（标准ACL）：靠近目的端部署；
• 高级ACL：靠近源端部署；
• 同一个接口、同一个方向，仅能应用一条ACL。

8.2 ACL 分类与匹配规则

8.2.1 ACL 类型及编号范围（H3C）

1. 基本ACL（标准ACL）

• 编号区间：2000～2999
• 匹配条件：仅依据源IP地址进行过滤
• 优缺点：配置简单，管控粒度粗，无法区分目的地址、端口
• 适用场景：对整个网段做统一访问限制

2. 高级ACL

• 编号区间：3000～3999
• 匹配条件：源IP、目的IP、协议（TCP/UDP/ICMP）、源端口、目的端口等组合匹配
• 优缺点：管控粒度精细，可精准限制指定主机、指定业务流量
• 适用场景：精细化权限控制、拦截特定端口攻击、限制应用软件联网

3. 二层ACL

• 编号区间：4000～4999
• 匹配条件：源MAC、目的MAC、以太网帧类型
• 适用场景：二层网络中基于物理地址过滤流量

8.2.2 通配符掩码（反掩码）

ACL 使用通配符掩码匹配IP网段，规则与子网掩码相反：

• 二进制位为 0：对应IP位必须严格一致；
• 二进制位为 1：对应IP位不作限制，任意匹配。

常用示例

• 匹配单台主机 192.168.1.1：192.168.1.1 0.0.0.0
• 匹配整个C类网段 192.168.1.0/24：192.168.1.0 0.0.0.255

8.3 基本ACL 配置与实例

8.3.1 基础命令格式

# 进入ACL视图，创建基本ACL
[H3C] acl number acl-number

# 配置规则：允许/拒绝 源地址 反掩码
[H3C-acl-basic-2000] rule permit/deny source ip-address wildcard-mask

8.3.2 配置示例

需求：禁止 192.168.1.0/24 网段访问外网，其他网段正常放行。

# 进入系统视图，创建编号2000的基本ACL
[H3C] acl number 2000

# 拒绝192.168.1.0网段所有流量
[H3C-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255

# 允许其余所有IP流量通行
[H3C-acl-basic-2000] rule permit source any

# 退出ACL视图
[H3C-acl-basic-2000] quit

# 在接口出方向调用ACL（基本ACL靠近目的端）
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter acl 2000 outbound

[H3C-GigabitEthernet1/0/1] quit
[H3C] save

8.4 高级ACL 配置与实例

8.4.1 基础命令格式

# 创建高级ACL
[H3C] acl number acl-number

# 规则格式：动作 协议 源IP 反掩码 目的IP 反掩码 端口信息
[H3C-acl-adv-3000] rule permit/deny protocol source ip wildcard destination ip wildcard [port 端口号]

8.4.2 配置示例1（限制指定主机访问服务器WWW服务）

需求：禁止主机 192.168.1.10 访问服务器 192.168.2.10 的80端口，其他流量不受限制。

[H3C] acl number 3000
# 拒绝TCP协议，192.168.1.10 访问 192.168.2.10 的80端口
[H3C-acl-adv-3000] rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.10 0.0.0.0 destination-port eq 80

# 允许所有其他流量
[H3C-acl-adv-3000] rule permit ip source any destination any

[H3C-acl-adv-3000] quit

# 在入接口调用高级ACL（靠近源端）
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter acl 3000 inbound

[H3C-GigabitEthernet1/0/1] quit
[H3C] save

8.4.3 配置示例2（禁止ICMP报文，禁止ping）

需求：全网禁止ICMP报文，终端无法互相ping通。

[H3C] acl number 3001
[H3C-acl-adv-3001] rule deny icmp source any destination any
[H3C-acl-adv-3001] rule permit ip source any destination any
[H3C-acl-adv-3001] quit

[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter acl 3001 inbound
[H3C-GigabitEthernet1/0/1] quit
[H3C] save

8.5 常用查看与维护命令

# 查看所有ACL配置及规则
<H3C> display acl all

# 查看指定编号ACL详情
<H3C> display acl number 2000

# 查看接口上应用的ACL信息
<H3C> display packet-filter interface GigabitEthernet 1/0/1

# 删除单条ACL规则
[H3C-acl-basic-2000] undo rule rule-id

# 删除整个ACL
[H3C] undo acl number 2000

8.6 常见注意事项与易错点

1. 规则顺序：ACL 按从上到下顺序匹配，精准规则建议写在前面，宽泛规则放在末尾。
2. 默认动作：所有规则都不匹配时，设备默认拒绝所有流量，务必按需添加 permit source any 放行其余流量。
3. 方向问题：inbound 入方向、outbound 出方向，调用时需区分流量走向。
4. 部署位置：基本ACL不要靠近源端，容易误拦截正常流量；高级ACL靠近源端，可提前过滤无效流量。
5. 接口限制：一个接口、一个方向，只能应用一条ACL，重复调用会覆盖原有配置。

---

声明：本文为个人学习笔记，仅供学习交流使用，不代表官方观点。