ACL:网络安全与流量控制的关键利器
一、ACL 概述
访问控制列表(Access Control List,简称 ACL)是一种基于包过滤的访问控制技术,在网络中发挥着至关重要的作用。
ACL 通过对报文的相关字段进行匹配,实现对网络资源访问权限的控制。它可以读取第三层和第四层的包头信息,包括源 IP 地址、目标 IP 地址、协议类型、端口号等。根据预先设置的规则对包进行过滤,决定允许或拒绝特定类型的流量通过网络设备。
例如,在一个企业网络中,ACL 可以用于限制特定部门的员工访问某些敏感资源,或者阻止外部网络的非法访问。ACL 通常应用于路由器和交换机等网络设备上,实现对网络流量的精细管理。
据统计,合理使用 ACL 可以有效提高网络的安全性,减少潜在的安全风险。在一个拥有 500 名员工的企业中,通过配置 ACL,可以将网络安全事件的发生率降低 30% 以上。
ACL 的规则通常基于特定的条件进行设置,例如只允许特定 IP 地址范围的设备访问某个服务器,或者禁止特定协议的流量通过网络。通过灵活配置 ACL 规则,可以满足不同的网络安全需求。
总之,访问控制列表 ACL 是一种强大的网络访问控制技术,通过对报文的精细过滤,实现对网络资源的有效管理和保护。
二、ACL 的分类及特点
(一)基本 ACL
基本 ACL 的编号范围是 2000 - 2999,主要针对 IP 报文的源 IP 地址进行匹配。它的特点在于配置相对简单,适用于只需要基于源 IP 地址进行控制的场景。例如,在一个小型企业网络中,可以使用基本 ACL 阻止特定 IP 地址的设备访问内部网络资源。在实际应用中,基本 ACL 尽量靠近目标路由器配置,这样可以避免对其他路径的流量造成不必要的影响。据统计,在一个拥有 100 台设备的网络环境中,使用基本 ACL 可以快速有效地控制约 30% 的网络访问行为。
(二)高级 ACL
高级 ACL 的编号范围是 3000 - 3999。它可以根据 IP 报文中的源 IP 地址、目的 IP 地址、协议类型、源目端口号等元素进行匹配,功能更为强大。与基本 ACL 相比,高级 ACL 能够定义出更精确、更复杂、更灵活的规则。例如,在一个大型企业网络中,可以使用高级 ACL 限制特定部门的员工只能访问特定的服务器和端口。在实际应用中,高级 ACL 通常配置在靠近源的地方,以便尽早阻止不必要的流量进入网络。据了解,在一个拥有 1000 名员工的企业网络中,通过合理配置高级 ACL,可以将网络安全风险降低 50% 以上。
(三)二层 ACL
二层 ACL 根据数据包的源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。它主要适用于控制局域网内的流量。例如,在一个学校的网络实验室中,可以使用二层 ACL 限制特定设备之间的通信,以确保实验的顺利进行。二层 ACL 的优势在于可以更精细地控制二层网络的流量,但它的配置相对复杂一些。在一个拥有 50 台设备的网络实验室中,使用二层 ACL 可以有效地提高网络的稳定性和安全性。
(四)用户自定义 ACL
用户自定义 ACL 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。这种类型的 ACL 比基本 ACL、高级 ACL 和二层 ACL 提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源 IP 地址、ARP 报文类型对 ARP 报文进行过滤时,则可以配置用户自定义 ACL。在实际应用中,用户自定义 ACL 需要根据具体的业务需求进行配置,具有较高的灵活性和可定制性。
(五)用户 ACL
用户 ACL 可用 IP 报文的源 / 目标 IP 地址、IP 协议类型、ICMP 类型、端口来定义规则。它为用户提供了一种更加灵活的网络访问控制方式。例如,在一个复杂的网络环境中,可以使用用户 ACL 根据不同的用户需求和权限进行网络访问控制。用户 ACL 的配置相对复杂,需要对网络结构和用户需求有深入的了解。在一个拥有多个部门和不同用户权限的企业网络中,通过合理配置用户 ACL,可以实现更加精细的网络管理和安全控制。
三、ACL 的组成及规则编号
ACL(Access Control List)由多个部分组成,这些组成部分共同协作,实现对网络流量的精确控制。
(一)ACL 编号
在网络设备上配置 ACL 时,每个 ACL 都需要分配一个编号,称为 ACL 编号,用来标识 ACL。不同分类的 ACL 有不同的编号范围,例如基本 ACL 的编号范围是 2000 - 2999,高级 ACL 的编号范围是 3000 - 3999。通过 ACL 编号,网络管理员可以快速识别和管理特定的访问控制列表。
(二)规则
一个 ACL 通常由若干条 “permit/deny” 语句组成,每条语句就是该 ACL 的一条规则。这些规则描述了对网络流量的具体控制策略,例如允许特定 IP 地址范围的设备访问某个服务器,或者禁止特定协议的流量通过网络。
(三)规则编号
规则编号是用来标识 ACL 规则的数字。一个 ACL 中的每一条规则都有一个相应的编号,编号范围是 0 - 4294967294,所有规则均按照规则编号从小到大进行排序。规则编号有步长的概念,例如,如果将步长设定为 5,规则编号分配是按照 5、10、15… 这样的规律分配的。当步长改变后,ACL 中的规则编号会自动从步长值开始重新排列。例如,原来规则编号为 5、10、15、20,当通过命令把步长改为 2 后,则规则编号变成 2、4、6、8。
步长的作用是为了方便后续在旧规则之间插入新的规则。例如用户已经创建了 4 个规则,规则编号为:0、5、10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在 0 和 5 之间插入一条编号为 1 的规则。如果手工指定了一条规则,但未指定规则编号,系统就会使用大于当前 ACL 内最大规则编号且是步长整数倍的最小整数作为规则编号。
(四)动作
每条规则中的 “permit” 或 “deny” 就是与这条规则相对应的处理动作。“permit” 指 “允许”,“deny” 指 “拒绝”。但是 ACL 一般是结合其他技术使用,不同的场景,处理动作的含义也有所不同。比如:ACL 如果与流量过滤技术结合使用(即流量过滤中调用 ACL),“permit” 就是 “允许通行” 的意思,“deny” 就是 “拒绝通行” 的意思。
(五)匹配项
ACL 定义了极其丰富的匹配项。例如,二层以太网帧头信息(如源 MAC、目的 MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如 TCP/UDP 端口号)等。通过这些丰富的匹配项,网络管理员可以根据具体的业务需求,精确地控制网络流量。
四、ACL 的通配符使用
当进行 IP 地址匹配的时候,后面会跟着 32 位掩码位,称为通配符,换算成二进制后,“0” 表示 “匹配”,“1” 表示 “不关心”。
通配符在 ACL 中起着重要的作用,它能够帮助网络管理员更加灵活地定义访问控制规则。例如,在一个企业网络中,如果需要允许特定网段中的奇数 IP 地址访问某个服务器,可以使用通配符来实现。假设网段为 192.168.1.0/24,要匹配奇数 IP 地址,通配符可以设置为 192.168.1.1 0.0.0.254。将通配符换算成二进制后,0.0.0.254 变为 00000000.00000000.00000000.11111110。其中,“0” 表示需要精确匹配的位,即 IP 地址中的对应位必须与规则中的地址对应位相同。而 “1” 表示不关心的位,该位可以是 0 或 1 的任意组合。
通配符掩码通常也称为反码。子网掩码和通配符掩码之间的差异在于它们匹配二进制 1 和 0 的方式。子网掩码使用二进制 1 和 0 标识 IPv4 地址的网络、子网和主机部分。而通配符掩码使用二进制 1 和 0 过滤单个 IPv4 地址或一组 IPv4 地址,以便允许或拒绝对资源的访问。
计算通配符掩码颇具挑战性。一个简便方法是从 255.255.255.255 中减去子网掩码。例如,假设希望允许 192.168.3.0 网络中的所有用户进行访问,其子网掩码是 255.255.255.0,从 255.255.255.255 中减去子网掩码 255.255.255.0,得到的通配符掩码为 0.0.0.255。
通配符掩码的功能还体现在可以表示若干 IP 地址的集合。比如 192.168.1.1 0.0.0.254 可以表示 192.168.1.0/24 网段中奇数 IP 地址的集合,192.168.1.0 0.0.0.254 可以表示该网段中偶数 IP 地址的集合。
此外,“host” 关键字可替代 0.0.0.0 掩码。此掩码表明,所有 IPv4 地址位均必须匹配,才能过滤出一个主机地址。“any” 选项可替代 IPv4 地址和 255.255.255.255 掩码。该掩码表示忽略整个 IPv4 地址,这意味着接受任何地址。
五、ACL 的配置演示
(一)基本 ACL
基本 ACL 主要针对 IP 报文的源 IP 地址进行匹配,可用于实现特定网段的流量过滤。以下以一个示例展示其配置过程。
假设我们要阻止 192.168.2.0/24 网段的设备访问特定网络资源。首先,进入系统视图,执行命令 system-view。然后创建基本 ACL,使用编号创建一个数字型的基本 ACL,执行命令 acl 2000,进入基本 ACL 视图。接着设置规则,执行命令 rule deny source 192.168.2.0 0.0.0.255,表示拒绝来自 192.168.2.0/24 网段的流量。再执行命令 rule permit source any,允许其他网段的流量通过。
接下来,将 ACL 应用于接口。假设我们要在路由器的某个接口上应用这个 ACL,进入相应接口视图,执行命令 interface [interface_name],然后执行 traffic-filter inbound acl 2000(如果是在出方向应用 ACL,则将 inbound 改为 outbound)。这样就完成了基本 ACL 的配置,实现了对特定网段的流量过滤。
(二)增强 ACL
高级 ACL 能够实现更精细的流量控制。例如,我们要禁止特定源 IP 的 ICMP 和 TCP 访问。
首先进入系统视图,执行 system-view。然后创建高级 ACL,执行命令 acl 3000,进入高级 ACL 视图。设置规则禁止特定源 IP(假设为 192.168.3.10)的 ICMP 访问,执行命令 rule deny icmp source 192.168.3.10 0 destination any。再设置规则禁止该源 IP 的 TCP 访问,执行命令 rule deny tcp source 192.168.3.10 0 destination any。
配置完成后,可以进行测试。从源 IP 为 192.168.3.10 的设备尝试发送 ICMP 和 TCP 报文到目标设备,如果配置正确,这些报文将被阻止。而其他源 IP 的设备的 ICMP 和 TCP 访问不受影响。
通过高级 ACL 的配置,可以实现对特定源 IP 的更精细流量控制,满足复杂网络环境中的安全需求。
六、ACL 在不同平台的作用
(一)Hadoop 3 平台
在 Hadoop 3 中,访问控制列表(ACL)发挥着重要作用。它允许对 HDFS(Hadoop Distributed File System)文件和目录进行更细粒度的访问权限控制。
ACL 包含两种主要类型:Access ACL 和 Default ACL。Access ACL 控制对文件和目录的访问权限,而 Default ACL 仅适用于目录,用于控制目录下新创建文件和子目录的默认权限。
可以使用特定的命令来管理 Hadoop 3 中的 ACL。例如,使用 hdfs dfs -getfacl 命令可以查看当前 ACL,使用 hdfs dfs -setfacl 命令可以设置 ACL。例如,设置用户 alice 对目录 /data 具有读写执行权限,可以执行 hdfs dfs -setfacl -m user:alice:rwx /data。还可以设置默认 ACL,如 hdfs dfs -setfacl -dm user:bob:rx /data。如果需要删除特定的 ACL 条目,可以使用 -x 选项,如 hdfs dfs -setfacl -x user:alice /data;如果要删除所有 ACL 条目,可以使用 -b 选项,如 hdfs dfs -setfacl -b /data;删除所有默认 ACL 条目则使用 -k 选项,如 hdfs dfs -setfacl -k /data。
完整的设置和管理 ACL 的过程如下:首先创建一个目录并查看其默认 ACL,如 hdfs dfs -mkdir /data 和 hdfs dfs -getfacl /data;然后添加用户 alice 和组 admins 的 ACL 条目,如 hdfs dfs -setfacl -m user:alice:rwx,group:admins:r-x /data 并再次查看 ACL;接着设置目录的默认 ACL,如 hdfs dfs -setfacl -dm user:alice:rwx,group:admins:r-x /data 并查看;如果需要删除用户 alice 的 ACL 条目,执行 hdfs dfs -setfacl -x user:alice /data 后查看;最后删除所有 ACL 条目,如 hdfs dfs -setfacl -b /data 并查看。
通过以上操作,在 Hadoop 3 中可以更细粒度地管理 HDFS 文件和目录的权限,从而实现更加灵活和安全的访问控制。
(二)网络监控平台
在网络监控平台中,ACL 具有多方面的重要作用。首先,在流量策略管理方面,ACL 可以基于一组规则来控制流经网络设备的数据包。通过配置 ACL,我们可以根据数据包的源地址、目的地址、协议类型以及其他条件来控制流量的流动。例如,可以设置允许特定协议或特定 IP 地址范围的流量通过,从而实现对网络流量的合理分配和管理。
其次,在准入控制管理方面,ACL 可以作为一种手段来限制特定设备或用户对网络的访问。通过设置 ACL 规则,可以仅允许经过授权的设备或用户接入网络,从而提高网络的安全性。例如,可以设置仅允许特定 IP 地址的设备访问网络监控平台,防止未经授权的设备获取监控数据。
最后,在访问安全管理方面,ACL 可以帮助防止恶意攻击和未经授权的访问。通过配置 ACL 规则,可以拒绝特定类型的数据包或来自特定源的数据包,从而降低网络遭受攻击的风险。例如,可以设置拒绝来自已知恶意 IP 地址的数据包,保护网络监控平台和其所监控的网络设备的安全。
总之,在网络监控平台中,ACL 可用于流量策略管理、准入控制管理和访问安全管理,实现对网络设备和流量的全面监控和控制。
(三)IoT 管理平台
在 IoT 管理平台中,ACL 作为权限管理的关键组成部分,起着至关重要的作用。
首先,在访问控制模型方面,IoT 管理平台可以采用不同的访问控制模型,如基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)和强制访问控制(MAC)。在 RBAC 中,访问控制策略基于用户在平台内的角色。例如,在面向制造工厂的物联网管理平台中,管理员角色可以访问平台中的所有设备和数据,设备管理角色只能访问他们管理的设备,数据分析师角色只能访问他们需要用于分析的数据。ABAC 则基于用户、设备和被访问数据的属性进行访问控制,虽然更加灵活,但实现和管理相对复杂。MAC 是一种高度限制的访问控制模型,通常用于安全至关重要的环境中,如面向政府机构的物联网管理平台,对敏感数据的访问可能仅限于具有最高机密级别的安全许可用户,并且对某些设备的访问可能仅限于具有特定职能的用户。
其次,在权限系统设计方面,权限系统包括用户授权和访问控制,确保只有经过授权的用户可以访问平台内的内容和数据。设计访问控制策略时,需要定义平台的具体访问控制要求,选择合适的访问控制模型,并在平台内实施控制策略,包括定义用户角色、分配角色权限、创建访问控制列表和实施身份验证等操作。例如,用户注册创建用户账户后,平台管理员将根据平台的需求定义多个用户角色,并为每个用户角色分配一组权限,用于定义他们可以在平台内执行的操作。同时,为平台内的每个设备和数据类型创建访问控制列表(ACL),用户必须使用用户名和密码进行身份验证才能访问平台,平台还将使用多因素身份验证,以确保只有授权用户可以访问平台。实施访问控制策略后,还需要监视平台内的用户活动,定期审核访问日志和用户活动报告,以确保用户只访问他们已被授权访问的设备和数据,并定期审核和更新平台内的访问控制策略,以确保平台保持安全并符合相关法规。
综上所述,在 IoT 管理平台中,ACL 通过访问控制模型和权限系统设计,确保只有授权用户可以访问平台内的内容和数据。
七、知乎平台的 ACL 特点
在知乎的长连接网关中,ACL(Access Control List,访问控制列表)发挥着重要作用,为多业务共用长连接提供了有效的权限控制和消息可靠性保证。
知乎长连接网关致力于业务数据解耦、消息高效分发、解决容量问题,同时提供一定程度的消息可靠性保证。在设计通讯协议时,采用了发布订阅模型来解耦长连接网关与客户端及业务后端。这种多对多的系统设计避免了强耦合,使得业务方逻辑的动态调整不会影响到整个系统的稳定性。
在权限控制方面,知乎的 ACL 设计了基于回调的鉴权机制。例如,当讲师在知乎 Live 的 165218 频道开讲时,客户端进入房间尝试订阅该频道的 Topic,就需要知乎 Live 的后端判断当前用户是否已经付费。这种情况下,权限状态只有知乎 Live 业务后端知晓,网关无法独立作出判断。通过 HTTP 回调给 Live 的后端服务判断订阅和发布动作,实现了灵活的权限控制。当用户付费以后就能订阅,否则就不能订阅。
同时,根据对内部业务的观察,大部分场景下业务需要的只是一个当前用户的私有 Topic 用来接收服务端下发的通知或消息。为了降低业务方的接入成本,知乎的 ACL 设计了 Topic 模板变量。给业务方配置允许订阅的 Topic 中包含连接的用户名变量标识,表示只允许用户订阅或发送消息到自己的 Topic。此时网关可以在不跟业务方通信的情况下,独立快速判断客户端是否有权限订阅或往 Topic 发送消息。
在消息可靠性保证方面,网关作为消息传输的枢纽,同时对接业务后端和客户端,在转发消息时需要保证消息在传输过程的可靠性。TCP 只能保证传输过程中的顺序和可靠性,但遇到 TCP 状态异常、客户端接收逻辑异常或发生了 Crash 等情况时,传输中的消息就会发生丢失。为了解决这个问题,知乎实现了回执和重传的功能。重要业务的消息在客户端收到并正确处理后需要发送回执,而网关内暂时保存客户端未收取的消息,网关会判断客户端的接收情况并尝试再次发送,直到正确收到了客户端的消息回执。面对服务端业务的大流量场景,服务端发给网关的每条消息都发送回执的方式效率较低,因此也提供了基于消息队列的接收和发送方式。
总之,知乎平台的 ACL 通过发布订阅模型解耦业务,设计了基于回调的鉴权机制和 Topic 模板变量控制权限,同时保证了消息的可靠性,为知乎的长连接网关提供了强大的访问控制和消息管理功能。
八、ACL 的实现方法
(一)基础 ACL 案例
假设有一个简单的网络拓扑,包含若干台 PC 和路由器。现在我们要通过在路由器上配置基础 ACL 来实现对特定网段数据的过滤。
首先,进入路由器的系统视图,执行命令 system-view。然后创建基础 ACL,假设我们要阻止 192.168.1.0/24 网段的数据通过某个接口,执行命令 acl 2000进入基本 ACL 视图。接着设置规则,执行命令 rule deny source 192.168.1.0 0.0.0.255表示拒绝来自这个网段的流量。再执行命令 rule permit source any允许其他网段的流量通过。
接下来,将 ACL 应用于接口。假设我们要在路由器的接口 GigabitEthernet0/1 上应用这个 ACL,进入该接口视图,执行命令 interface GigabitEthernet0/1,然后执行 traffic-filter inbound acl 2000(如果是在出方向应用 ACL,则将 inbound改为 outbound)。
为了验证 ACL 的效果,我们进行连通性测试。从不同网段的 PC 尝试 ping 目标设备,如果配置正确,来自 192.168.1.0/24 网段的 PC 将无法与目标设备通信,而其他网段的 PC 可以正常通信。
例如,在一个拥有 50 台设备的小型网络中,通过配置基础 ACL 可以快速有效地阻止特定网段的设备访问关键资源,提高网络的安全性和稳定性。
(二)高级 ACL 案例
高级 ACL 可以针对五元素,即源 IP 地址、目标 IP 地址、源端口、目标端口、协议号进行更精细的控制。
以一个企业网络为例,我们要禁止特定源 IP 的某个特定端口的 TCP 流量通过。首先进入系统视图,执行 system-view。然后创建高级 ACL,执行命令 acl 3000进入高级 ACL 视图。设置规则禁止特定源 IP(假设为 192.168.2.10)的特定端口(假设为 8080)的 TCP 访问,执行命令 rule deny tcp source 192.168.2.10 0 destination any destination-port eq 8080。
配置完成后,可以进行测试。从源 IP 为 192.168.2.10 的设备尝试通过 8080 端口发送 TCP 报文到目标设备,如果配置正确,这些报文将被阻止。而其他源 IP 的设备或该源 IP 通过其他端口的 TCP 访问不受影响。
在一个拥有 200 台设备的中型企业网络中,通过高级 ACL 的配置,可以实现对特定源 IP 和端口的精细流量控制,满足复杂网络环境中的安全需求。
(三)ACL 的工作流程
ACL 在网络中主要起到限制网络流量、提供数据流控制和为网络访问提供安全层等作用。
在限制网络流量方面,ACL 可以根据预先定义的规则,对特定的数据包进行过滤,例如拒绝来自特定 IP 地址或网段的流量,从而减少不必要的网络拥塞。据统计,在一个拥有 1000 台设备的大型网络中,合理配置 ACL 可以将网络流量降低 20% 以上。
在提供数据流控制方面,ACL 可以限定或减少路由更新的内容,限制关于某个特定网络的信息传播到整个网络。比如,可以设置只允许特定协议的数据包通过,从而优化网络性能。
为网络访问提供安全层是 ACL 的重要作用之一。它可以允许某个主机访问网络的某一部分,而阻止另一台主机访问网络的这个部分。例如,可以配置 ACL 规则拒绝来自恶意 IP 地址的数据包,防止网络攻击。
在网络设备接口上,ACL 的工作流程如下:当数据包到达网络设备的接口时,设备首先捕获该数据包。然后从数据包中提取源地址、目的地址、端口号等关键信息。接着,将提取的信息与 ACL 中定义的规则进行匹配。如果匹配成功,则根据规则的允许或拒绝条件来执行 ACL 规则,允许或拒绝流量通过设备。如果数据包被允许通过,则继续传输;如果数据包被拒绝,则可能被丢弃或进行其他处理。
九、ACL 的应用原则及实验配置
(一)应用原则
基本 ACL 尽量用在靠近目的端,高级 ACL 尽量用在靠近源端,这是因为基本 ACL 只能针对源 IP 地址进行匹配,若配置在靠近源端,可能会误杀其他有效流量。例如,在一个包含多个分支的企业网络中,如果在源端配置基本 ACL 阻止了某个特定 IP 地址,可能会导致该 IP 地址无法访问其他分支的网络资源。而靠近目的端配置基本 ACL,可以更精确地控制特定设备对目标资源的访问,减少对其他网络路径的影响。
高级 ACL 尽量配置在靠近源的地方,是因为高级 ACL 可以根据源 IP 地址、目的 IP 地址、协议类型、源目端口号等元素进行匹配,功能更为强大。在源端配置高级 ACL 可以尽早阻止不必要的流量进入网络,减轻网络负担。例如,在一个拥有众多用户的大型企业网络中,通过在源端配置高级 ACL,可以有效过滤掉特定用户对特定服务的不必要访问,降低网络流量,提高网络性能。据统计,在一个拥有 5000 名员工的企业网络中,合理配置高级 ACL 在源端可以将网络安全风险降低 60% 以上,同时减少约 30% 的网络拥塞。
(二)实验配置
以下通过一个实验配置展示使用基本 ACL 进行数据过滤的过程。
1. 实验环境准备
假设有一个简单的网络拓扑,包含若干台 PC、服务器和路由器。
2. 配置 IP 地址
为各个设备配置合适的 IP 地址,确保网络连通性。
3. 配置基本 ACL
首先,进入路由器的系统视图,执行命令 system-view。然后创建基本 ACL,假设我们要阻止特定网段的数据访问服务器,执行命令 acl 2000进入基本 ACL 视图。接着设置规则,执行命令 rule deny source [特定网段 IP] 0.0.0.255表示拒绝来自这个网段的流量。再执行命令 rule permit source any允许其他网段的流量通过。
4. 应用 ACL 到接口
将 ACL 应用于靠近服务器的接口。假设我们要在路由器连接服务器的接口上应用这个 ACL,进入该接口视图,执行命令 interface [接口名称],然后执行 traffic-filter inbound acl 2000。
5. 验证实验结果
从不同网段的 PC 尝试访问服务器,如果配置正确,来自被阻止网段的 PC 将无法访问服务器,而其他网段的 PC 可以正常访问。例如,在一个拥有 30 台设备的小型网络实验环境中,通过上述配置,成功阻止了特定网段的设备访问服务器,验证了基本 ACL 在靠近目的端配置的有效性。
