华为ACL限制FTP访问权案例
华为ACL限制FTP访问权案例
知孤云出岫
发布于 2026-03-31 18:02:36
发布于 2026-03-31 18:02:36
ACL限制FTP访问权案例
📌 组网图形
图1 使用基本ACL限制FTP访问权限组网图
📖 ACL简介
访问控制列表 ACL(Access Control List) 是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是:
- 源地址
- 目的地址
- 端口号
- 时间段等
👉 本质:ACL = 报文过滤器
- 规则 = 过滤条件
- 设备根据规则匹配报文,并决定:
- ✅ 允许(permit)
- ❌ 拒绝(deny)
ACL分类
根据规则定义方式:
类型 | 说明 |
|---|---|
基本ACL | 基于源IP地址 |
高级ACL | 基于源/目的IP、端口等 |
二层ACL | 基于MAC等 |
👉 本案例使用:基本ACL
⚠️ 配置注意事项
irreversible-cipher(不可逆加密)- ✔ 安全性高
- ✔ 适用于:V200R003C00及以后版本
cipher(可逆加密)- ❌ 安全性较低
- ❗ 旧版本使用
📌 建议:优先使用 irreversible-cipher
🌐 组网需求
设备:Switch 作为 FTP Server
访问控制策略
用户来源 | 权限 |
|---|---|
172.16.105.0/24 | 任意时间允许访问 |
172.16.107.0/24 | 指定时间允许访问 |
其他用户 | 禁止访问 |
📌 前提:网络路由已互通
⚠️ 安全提示
FTP 存在安全风险,建议使用:
👉 SFTP(更安全)
🛠️ 操作步骤
1️⃣ 配置时间段
<HUAWEI> system-view
[HUAWEI] sysname Switch
# 绝对时间段
[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31
# 周期时间段(休息日)
[Switch] time-range ftp-access 14:00 to 18:00 off-day
📌 最终生效时间 = 两个时间段 交集
2️⃣ 配置基本ACL
[Switch] acl number 2001
# 子网1:任意时间允许
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255
# 子网2:指定时间允许
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access
# 其他用户:拒绝
[Switch-acl-basic-2001] rule deny source any
[Switch-acl-basic-2001] quit
3️⃣ 配置FTP服务器
# 启用FTP
[Switch] ftp server enable
# 指定源接口
[Switch] ftp server-source -i Vlanif 10
4️⃣ 配置FTP用户(AAA)
[Switch] aaa
# 创建用户
[Switch-aaa] local-user huawei password irreversible-cipher SetUserPassword@123
# 用户级别
[Switch-aaa] local-user huawei privilege level 15
# 服务类型
[Switch-aaa] local-user huawei service-type ftp
# 目录
[Switch-aaa] local-user huawei ftp-directory cfcard:/
[Switch-aaa] quit
📌 盒式交换机目录建议使用:
flash:/
5️⃣ 应用ACL到FTP
[Switch] ftp acl 2001
✅ 验证配置
测试结果
主机 | IP | 结果 |
|---|---|---|
PC1 | 172.16.105.111 | ✅ 可访问 |
PC2(工作日) | 172.16.107.111 | ❌ 不可访问 |
PC2(周六15:00) | 172.16.107.111 | ✅ 可访问 |
PC3 | 10.10.10.1 | ❌ 不可访问 |
📄 完整配置文件
#
sysname Switch
#
ftp server enable
ftp server-source -i Vlanif 10
ftp acl 2001
#
time-range ftp-access 14:00 to 18:00 off-day
time-range ftp-access from 00:00 2014/1/1 to 23:59 2014/12/31
#
acl number 2001
rule 5 permit source 172.16.105.0 0.0.0.255
rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access
rule 15 deny
#
aaa
local-user huawei password irreversible-cipher %^%#uM-!TkAaGB5=$$6SQuw$#batog!R7M_d^!o{*@N9g'e0baw#%^%#
local-user huawei privilege level 15
local-user huawei ftp-directory cfcard:/
local-user huawei service-type ftp
#
return
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-03-23,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号